Swing

 

JavaGUI應用程序部署

JavaGUI程序發布分類
 1)  Applet：可以嵌入到瀏覽器中，通過網頁的方式展示給用戶

 2)  application ：有兩種發布方式

  ü 打包成jar包通過bat的方式運行，或者通過第三方軟件打成exe(后續會再詳細介紹)

  ü 通過Java Web Start的方式發布到服務器端，通過JNLP運行

 相對來說第二種方式可能更好一些，免除了更新的麻煩。

 用applet或者jws的方式發布，大部分都需要數字簽名。

為什么要簽名
 其實簽名不是必須的，如果你的程序只是單純的繪圖，顯示，只要不訪問網絡資源也不訪問本地文件，是不用簽名的，
 但是如果要訪問本地或網上資源就必須簽名，
 比如讀取本地文件或者訪問數據庫，這是由java的沙箱機制決定的，即jvm內部有一組安全檢查規則，要通過檢查之后才能訪問特定資源。

 如果要突破這個規則，可以有兩個方法:

 1) 修改jre權限文件如下

  java.policy為grant {
   permission java.security.AllPermission;
        };

  一般權限文件的目錄如下C:"Program Files"Java"jre6"lib"security

  但是修改每個客戶端的權限文件，無論從時間還是操作上都是很麻煩的。

 2)  簽名，意思就是告訴用戶，這個程序是誰發布的，是不是能信任，如果客戶確定，ok，這個applet或者jws就可以訪問外部資源了。

如何簽名

 1)首先確保你已經完全安裝了Java2的環境，有keytool工具，它位于JDK的bin目錄下。這一般不會有問題。

 2)到Dos狀態下，進入你需發布應用程序的jar包所在的目錄，運行下面這句話
   keytool -genkey -keystore myKeystore -alias jwstest -validity 1000
      它將會提示你輸入用戶名、密碼等，按照提示隨便輸入即可，不輸入直接回車即可，
   但一定要記住密碼。運行結束它將會在當前路徑下創建名為myKeystore的文件。

 3)如果你想查看一下剛才生成的myKeystore文件的內容，可以使用下面這句話：
  keytool -list -keystore myKeystore
  顯示出來應該類似如下：
  Keystore type: jks
  Keystore provider: SUN
  Your keystore contains 1 entry:
  jwstest, Tue Nov 23 19:29:32 PST 2001, keyEntry,
  Certificate fingerprint (Test):
  C3:A9:CD:F3:D3:AC:4D:3F:3C:5B:AF:9E:CF:0D:46:5C

 4)對你需發布應用程序的jar包進行簽名，運行下面這句話：
  jarsigner -keystore myKeystore yourtest.jar jwstest
  其中yourtest.jar是你的jar包名，你需要修改它，別的就不必修改了。
  運行時會提示你輸入密碼，就是你剛才在生成myKeystore文件時設定的密碼。

如果有很多jar包怎么辦

 在開發的過程中很可能會引用到第三方的jar包，而第三方的jar包又可能引用到其它的，所以可能有很多的jar包，需要和applet一起發布，有兩個方法
  1) 分別打包簽名，使用于包比較少，比如只有3、4個的情況
        2) 只 把applet的jar包簽名，讓用戶確認訪問授權，applet已經被用戶授權，那么就可以在applet里改變安全管理器（SecurityManager）
   只需要繼承SecurityManager類，創建自己的安全管理器類，然后覆蓋checkPermission方法，允許訪問任何資源。
   在applet的init方法中調用System.setSecurityManager把安全管理器設置為我們自定義的即可。

 class CustomManager extends SecurityManager {
  public void checkPermission(Permission perm, Object context) {
  }
  public void checkPermission(Permission perm) {
  }
 }
 

其它一些相關資料如下

 JDK中keytool常用命令

 -genkey      在用戶主目錄中創建一個默認文件".keystore",還會產生一個mykey的別名，mykey中包含用戶的公鑰、私鑰和證書
 -alias       產生別名
 -keystore    指定密鑰庫的名稱(產生的各類信息將不在.keystore文件中
 -keyalg      指定密鑰的算法   
 -validity    指定創建的證書有效期多少天
 -keysize     指定密鑰長度
 -storepass   指定密鑰庫的密碼
 -keypass     指定別名條目的密碼
 -dname       指定證書擁有者信息 例如：  "CN=sagely,OU=atr,O=szu,L=sz,ST=gd,C=cn"
 -list        顯示密鑰庫中的證書信息      keytool -list -v -keystore sage -storepass ....
 -v           顯示密鑰庫中的證書詳細信息
 -export      將別名指定的證書導出到文件  keytool -export -alias caroot -file caroot.crt
 -file        參數指定導出到文件的文件名
 -delete      刪除密鑰庫中某條目          keytool -delete -alias sage -keystore sage
 -keypasswd   修改密鑰庫中指定條目口令    keytool -keypasswd -alias sage -keypass .... -new .... -storepass ... -keystore sage
 -import      將已簽名數字證書導入密鑰庫  keytool -import -alias sage -keystore sagely -file sagely.crt
     導入已簽名數字證書用keytool -list -v 以后可以明顯發現多了認證鏈長度，并且把整個CA鏈全部打印出來。

 Keytool 是安全鑰匙與證書的管理工具.它管理一個存儲了私有鑰匙和驗證相應公共鑰匙的與它們相關聯的X.509 證書鏈的keystore(相當一個數據庫).

 Keytool 是一個有效的安全鑰匙和證書的管理工具. 它能夠使用戶使用數字簽名來管理他們自己的私有/公共鑰匙對,管理用來作自我鑒定的相關的證書,管理數據完整性和鑒定服務.它還能使用戶在通信時緩存它們的公共鑰匙.

 一個證書是某一實體(個人,公司等)的數字簽名,指出其他實體的公共鑰匙(或其他信息)的詳細的值.當數據被簽名后,這個簽名信息被用來檢驗數據的完整性和真實性.完整性指數據沒有被修改和篡改,真實性指數據從任何產生和簽名的一方真正的傳輸到達.

 Keytool 把鑰匙和證書儲存到一個keystore.默任的實現keystore的是一個文件.它用一個密碼保護鑰匙.

 而另外的一個工具jarsigner用keystore中的信息產生或檢驗Java aRchive(jar文件)中的數字簽名.

 Keystore有兩個不同的入口:

 1.鑰匙入口:保存了非常敏感的加密的鑰匙信息,并且是用一個保護的格式存儲以防止未被授權的訪問.以這種形式存儲的鑰匙是秘密鑰匙,或是一個對應證書鏈中公有鑰匙的私有鑰匙.

 2.信任證書入口:包含一個屬于其他部分的單一公共鑰匙證書.它之所以被稱為"信任證書",是因為keystore信任的證書中的公共鑰匙真正屬于證書所有者的身份識別.

 Keystore的別名:

 所有的keystore入口(鑰匙和信任證書入口)是通過唯一的別名訪問.別名是 不區分大小寫的.如別名Hugo和hugo指向同一個keystore入口.

 可以在加一個入口到keystore的時候使用-genkey參數來產生一個鑰匙對(公共鑰匙和私有鑰匙)時指定別名.也可以用-import參數加一個證書或證書鏈到信任證書.

 如:

 keytool -genkey -alias duke -keypass dukekeypasswd

 其中duke為別名,dukekeypasswd為duke別名的密碼.這行命令的作用是產生一個新的公共/私有鑰匙對.

 假如你想修改密碼,可以用:

 keytool -keypasswd -alias duke -keypass dukekeypasswd -new newpass

 將舊密碼dukekeypasswd改為newpass.

 Keystore的產生:

 1.當使用-genkey 或-import或-identitydb命令添加數據到一個keystore,而當這個keystore不存在時,產生一個keystore.默認名是.keystore,存放到user-home目錄.

 2.當用-keystore指定時,將產生指定的keystore.

 Keystore的實現:

 Keytool 類位于java.security包下,提供一個非常好的接口去取得和修改一個keystore中的信息. 目前有兩個命令行:keytool和jarsinger,一個GUI工具Policy 可以實現keystore.由于keystore是公開的,用戶可以用它寫一些額外的安全應用程序.

 Keystore還有一個sun公司提供的內在實現.它把keystore作為一個文件來實現.利用了一個keystore類型(格式)"JKS".它用單獨的密碼保護每一個私有鑰匙.也用可能不同的密碼保護整個keystore的完整性.

 支持的算法和鑰匙大小:

 keytool允許用戶指定鑰匙對和注冊密碼服務供應者所提供的簽名算法.缺省的鑰匙對產生算法是"DSA".假如私有鑰匙是"DSA"類型,缺省簽名算法是"SHA1withDSA",假如私有鑰匙是"RSA"類型,缺省算法是"MD5withRSA".

 當產生一個DSA鑰匙對,鑰匙必須在512-1024位之間.對任何算法的缺省鑰匙大小是1024位.

 證書:

 一個證書是一個實體的數字簽名,指出其他實體的公共鑰匙有明確的值.

 1.公共鑰匙 :是同一個詳細的實體的數字關聯,并有意讓所有想同這個實體發生信任關系的其他實體知道.公共鑰匙用來檢驗簽名;

 2.數字簽名:假如數據已被簽名,并用身份存儲在一個實體中,一個簽名能夠證明這個實體知道這個數據.這個數據用實體私有鑰匙簽名并遞交;

 3.身份:知道實體的方法.在一些系統中身份是公共鑰匙,其他系統中可以是從一個X.509名字的郵件地址的Unix UID來的任何東西;

 4.簽名:一個簽名用用實體私有鑰匙來計算某些加密數據;

 5.私有鑰匙:是一些數字,每一個私有鑰匙只能被特定的擁有該私有鑰匙的實體知道.私有和公共鑰匙存在所有用公共鑰匙加密的系統的鑰匙對中.一個公共鑰匙加密(如DSA),一個私有鑰匙與一個正確的公共鑰匙通信.私有鑰匙用來計算簽名.

 6.實體:一個實體可以是一個人,一個組織,一個程序,一臺計算機,一個商業,一個銀行,或其他你想信任的東西.

 Keytool應用實例:

 1.產生一個keystore:

 keytool -genkey -alias User(keystore的別名) -keyalg RSA -validity 7 -keystore keystore(指定keystore).

 運行這個命令,系統提示:

 Enter keystore password:yourpassword(輸入密碼)

 What is your first and last name?

 [Unknown]: your name(輸入你的名字)

 What is the name of your organizational unit?

 [Unknown]:your organizational(輸入你所在組織單位的名字)

 What is the name of your organization?

 [Unknown]:your organization name (輸入你所在組織的名字)

 What is the name of your City or Locality?

 [Unknown]:your city name(輸入所在城市的名字)

 What is the name of your State or Province?

 [Unknown]:your provice name(輸入所在省份名字)

 What is the two-letter country code for this unit?

 [Unknown]:cn(輸入國家名字)

 Is CN=your name, OU=your organizaion, O="your organization name",

 L=your city name, ST=your province name, C=cn correct?

 [no]: yes

 2.檢查一個keystore:

 keytool -list -v -keystore keystore

 Enter keystore password:your password(輸入密碼)

 將顯示keystore內容如:

 Keystore type: jks

 Keystore provider: SUN

 Your keystore contains 1 entry

 Alias name: yourname

 Creation date: Dec 20, 2001

 Entry type: keyEntry

 Certificate chain length: 1

 Certificate[1]:

 Owner: CN=yourname, OU=your organization, O="your organization name",

 L=your city name, ST=your province name, C=CN

 Issuer: CN=Duke, OU=Java Software, O="Sun Microsystems, Inc.", L=Palo Alto, ST=CA, C=US

 Serial number: 3c22adc1

 Valid from: Thu Dec 20 19:34:25 PST 2001 until: Thu Dec 27 19:34:25 PST 2001

 Certificate fingerprints:

 MD5: F1:5B:9B:A1:F7:16:CF:25:CF:F4:FF:35:3F:4C:9C:F0

 SHA1: B2:00:50:DD:B6:CC:35:66:21:45:0F:96:AA:AF:6A:3D:E4:03:7C:74

 3.輸出keystore到一個文件:testkey:

 keytool -export -alias duke -keystore keystore -rfc -file testkey

 系統輸出:

 Enter keystore password:your password(輸入密碼)

 Certificate stored in file < td>

 4.輸入證書到一個新的truststore:

 keytool -import -alias dukecert -file testkey -keystore truststore

 Enter keystore password:your new password.(輸入truststore新密碼)

 5.檢查truststore:

 keytool -list -v -keystore truststore

 系統將顯示truststore的信息.

 現在可以用適當的keystore運行你的應用程序.如:

 java -Djavax.net.ssl.keyStore=keystore -Djavax.net.ssl.keyStorePassword=password Server

 和: java -Djavax.net.ssl.trustStore=truststore

 -Djavax.net.ssl.trustStorePassword=trustword Client

 by

   張濤
    zht_dream@hotmail.com