我创建了一个 Tornadofx 应用程序,并希望将其部署到生产环境中。为此,我考虑了两种选择:
Fxlauncher
Java 网页启动
Fxlauncher 似乎很容易使用和部署,只需要 gradle 配置和命令。
但我主要关心的是它是否足够安全?
例如,在 Java web start 中,我正在阅读文档并发现:
签署 Java Web Start 中使用的 JAR 文件 Java Web Start 强制实施安全沙箱。默认情况下,它只授予任何应用程序(包括应用程序客户端)最低权限。因为 Java Web Start 应用程序可以很容易地下载,所以 Java Web Start 可以防止可能通过网络访问的潜在有害程序。如果应用程序需要比沙盒允许的权限级别更高的权限,则需要权限的代码必须位于已签名的 JAR 文件中。当 Java Web Start 下载此类签名的 JAR 文件时,它会显示有关用于签署 JAR 的证书的信息,并询问您是否要信任该签名的代码。如果您同意,代码将获得提升的权限并运行。如果您拒绝签名代码,Java Web Start 不会启动下载的应用程序。
基本上,jar 的签名是使用 Java web start 和 JNLP 时的关键问题之一;但是对于 Fxlauncher,我找不到任何这样的要求或标准来做到这一点。
那么 Fxlauncher 是如何处理此类安全问题的呢?
目前,使用 fxlauncher,我能够从/向我的客户机器读取/写入文件。没有jar签名可以吗?
仅供参考,我没有实际使用过 Java web start,只是在阅读 Oracle 指南。
参考文献: