signjar & jar: sign vs Artifactory Prüfsumme
https://stackoverflow.com/questions/9383991
-
28-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wenn ich als Teil meines Builds ein Glas über Ants signjar-Task signiere, wird es als "signiertes Glas" betrachtet.Dasselbe kann in Maven-Land erreicht werden, indem das Ziel jar:sign ausgeführt wird.
Repository-Manager wie Artifactory haben das Konzept von Prüfsummen, bei denen Sie Bereitstellungen bei fehlerhaften Prüfsummen fehlschlagen, fehlerhafte / fehlende Prüfsummen neu berechnen und alle möglichen anderen Aktionen basierend auf dem Prüfsummenstatus ausführen können.
Ich frage mich, in welcher Beziehung die Ergebnisse ("Signieren") von Gläsern über Methoden wie signjar oder jar:sign zu Artifacors Begriff der Prüfsummen stehen.
Sind "Prüfsummen" nur ein Oberbegriff für das, was durch Ausführen dieser Signaturaufgaben / -ziele erzeugt wird?Oder sind sie ganz andere Gegenstände?
Lösung
Prüfsumme ist eine numerische Darstellung des Dateiinhalts. Beim Signieren wird der Datei eine Signatur hinzugefügt.
Da sich die Größe und der Inhalt der Datei während des Signierens ändern, sind die Prüfsummen derselben Datei, die versengt und nicht signiert sind, unterschiedlich.
Das Überprüfen des Erfolgs der Dateiübertragung mit Prüfsummen ist für Artifactory nichts Besonderes. Zum Hochladen geht es so:
- Der Client berechnet die Prüfsumme vor dem Hochladen der Datei.
- Der Client lädt die Prüfsumme entlang der Datei hoch (normalerweise in einer separaten Textdatei mit den Erweiterungen .md5 oder sha1, zwei Möglichkeiten zur Berechnung der Prüfsummen).
- Nachdem der Upload-Server die Prüfsumme für die hochgeladene Datei berechnet hat.
- Der Server vergleicht seine Prüfsumme mit der hochgeladenen Prüfsumme. Wenn sie zusammenpassen - alles grün. Wenn nicht, hängt dies von den Einstellungen ab, die Sie in Ihrer Frage erwähnt haben (Upload fehlschlagen oder trotzdem bestehen).
Wenn Sie das Build-Tool (Maven oder Ivy) verwenden, um Jars nach dem Signieren in Artifactory bereitzustellen, ist die berechnete Prüfsumme die richtige (der signierten JAR), sodass alles wie erwartet funktionieren sollte.
Andere Tipps
Ein signiertes Glas garantiert, dass sein Inhalt von der Person erstellt wurde, die es signiert hat.Während die Prüfsumme nur eine Prüfung ist, ist die Datei intakt.Beispielsweise kann jemand die Datei ändern und die Prüfsumme an den neuen Inhalt anpassen.
