applet问题集,兼论applet可能的 安全和访问问题

1签名applet

该文有多篇到其他相关文章的链接。
http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/signed-applet.html

中文：
http://zhidao.baidu.com/question/10671541.html
Java2下Applet数字签名具体实现方法我的项目是使用APPLET制作一个实时消息队列监控程序，由于涉及到了本地资源，对APPLET一定要进 行数字签名和认证。我使用的环境是WINDOWS2000，应用服务器是WEBLOGIC6.0，开发环境是JBUILDER4.0。之前我提醒大家一定 要注意服务器端和客户端的概念。那些文件应该在服务器端，那些文件应该在客户端。

首先在客户端使用JRE1.3.0_01（JAVA运行环境1.3.0.1版本）以取代IE的JVM(JAVA虚拟机)，可以到 WWW.JAVA.SUN.COM网站上去下载，下载好了先在客户端安装好，安装过程非常简单。

在服务器端的调用APPLET的HTML文件中也需要将它包含进来，以便没有事先安装JRE的客户端下载，具体的写法，请接着往下看；

具体步骤如下:

服务器端：

1．将程序需要用到的各种包文件全部解压(我这儿要用到WEBLOGIC的JMS包使用命令jar xf weblogicc.jar)，然后使用JDK的打包命令将编译好的监控程序.class和刚才解压的包一起打包到一个包中。(前提我已经将监控程序和解 开的包都放在同一个目录下了)，都是dos状态下的命令，具体命令见jdk1.3(1.2)的bin目录下，

命令如下：

jar cvf monitor.jar *.class

此命令生成一个名为monitor.jar的包

2．为刚才创建的包文件（monitor.jar）创建keystore和keys。其中，keystore将用来存放密匙(private keys)和公共钥匙的认证，alias别名这儿取为monitor。

命令如下：

keytool -genkey -keystore monitor.keystore –alias monitor

此命令生成了一个名为monitor.keystore的keystore文件，接着这条命令，系统会问你好多问题，比如你的公司名称，你的地址，你要设定的密码等等，都由自己的随便写。

3．使用刚才生成的钥匙来对jar文件进行签名

命令如下：

jarsigner -keystore monitor.keystore monitor.jar monitor

这个命令将对monitor.jar文件进行签名，不会生成新文件。

4．将公共钥匙导入到一个cer文件中，这个cer文件就是要拷贝到客户端的唯一文件 。

命令如下：

keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer

此条命令将生成monitor.cer认证文件，当然这几步都有可能问你刚才设置的密码。这样就完成了服务器端的设置。这时你就可以将jar文件和 keystore文件以及cer文件(我这儿是monitor.jar,monitor.keystore,monitor.cer)拷贝到服务器的目录 下了，我用的是weblogic6.0，所以就拷贝到C:/bea/wlserver6.0/config/mydomain/applications /DefaultWebApp_myserver下的自己建的一个目录下了。

客户端：

1． 首先应该安装jre1.3.0_01，然后将服务器端生成的monitor.cer 文件拷贝到jre的特定目录下，我这儿是：
c:/program files/javasoft/jre/1.3.0_01/lib/security目录下。

2． 将公共钥匙倒入到jre的cacerts（这是jre的默认keystore）

命令如下：

keytool -import -alias monitor -file monitor.cer
-keystore cacerts

注意这儿要你输入的是cacerts的密码，应该是changeit，而不是你自己设定的keystore的密码。

3． 修改policy策略文件，在dos状态下使用命令 policytool

系统会自动弹出一个policytool的对话框，如图4所示，在这里面首先选择file菜单的open项，打开c:/program files/javasoft/jre/1.3.0_01/lib/security目录下的java.poliy文件，然后在edit菜单中选择 Change keystore ，在对话框中new keystore url:中输入
file:/c:/program files /javasoft/jre/1.3.0_01/lib/security/cacerts, 这儿要注意反斜杠，在new keystore type 中输入JKS，这是cacerts的固定格式，然后单击Add Policy Entry，在出现的对话框中CodeBase中输入：

http://URL:7001/*

其中的URL是服务器的IP地址，7001是我的weblogic的端口，如果你是在别的应用服务器上比如说是apache，那端口号就可以省略掉。

在SignedBy中输入(别名alias):这儿是Monitor然后单击add peimission按钮，在出现的对话框中permission中选择你想给这个applet的权限，这儿具体有许多权限，读者可以自己找资料看看。我 这儿就选用allpeimission，右边的signedBy中输入别名：monitor
最后保存，在file菜单的save项。

当然你可以看见我已经对多个包实现了签名认证。

这样客户端的设置就完成了。在客户端用ie运行该applet程序时，会询问你是不是对该签名授权，选择授权后，包会自动从服务器下载到本地计算机，而且ie会自动启动jre，在右下栏中可以看见，相当于ie的java控制台。

4．调用applet的html文件

大家都知道由于java2的安全性，对applet的正常调用的html文件已经不能再使用了，而改为ActiveX类型的调用。具体的又分ie和 nescape的不同写法，这一些在sun网上都能找到现成的教程。我就不多说了，只是将我的这个小程序为ie写的的html给大家看看。

＜html＞
＜META HTTP-EQUIV="Content-Type" CONTENT="text/html;CHARSET=gb2312"＞
＜center＞
＜h3＞消息中心实时监控平台＜/h3＞
＜hr＞
＜OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93"
width="900" height="520" align="baseline" codebase=" http://192.168.2.217:7001/j2re-1_3_0_01-win-i.exe#Version=1,3,0,0"＞
＜PARAM NAME="java_code" VALUE="wise.monitor.applet.monitorApplet"＞
＜PARAM NAME="java_codebase" VALUE="monitor/classes"＞
＜PARAM NAME="java_type" VALUE="application/x-java-applet;version=1.3"＞
＜PARAM NAME="ARCHIVE" VALUE="monitor.jar" ＞
＜PARAM NAME="scriptable" VALUE="true"＞
＜/OBJECT＞
＜/center＞
＜/html＞

其中我要强调一点，因为applet每一次的改动都需要重新打包签名，手续非常繁琐，所以在具体的实现中要将一些会变化参数放到html文件中来，传到applet中去，这一点网上文章好多，自己去看吧。

另外一个就是有朋友问我，那这样不是太麻烦了，每一个客户端都要进行复杂的dos命令操作，我只能说一目前我的水平只能将一个已经做好的客户端文件cer 文件和java.policy以及cacerts文件直接拷贝到客户端，当然这也有缺陷，如果别人的计算机已经有了认证，就会丢失。就这些问题我们可以一 起探讨。

另外还有一点优化，就是在打包的时候，我这儿只讲了把所有要用的涉及到安全性的包和源程序到要打到一个包中。这样如果包非常大的话，会非常影响下载的速 度，如果可以使用本地计算机的包就好了，这一点jre也做到了，具体的要到控制面板的jre控制台上去设置。这个就留着读者自己去摸索吧。

结束语

我发现网上java相关的资料非常少，中文的更少，所以希望自己能将一些小知识和大家共享，省掉许多重复的无用功。如果大家对这个问题还有不清楚的地方，或者就这问题相进一步展开讨论的，请和我联系,我的信箱是afeilb@163.net。希望我们能共同进步！


http://java.chinaitlab.com/advance/520330.html

更好的方法：

上面的方法做的事情比较多，如下的方法的步骤较少，但是基本上就解决问题了。
不晓得上面的方法为什么那么繁琐。
至少像本地文件访问，一些对server资源的访问限制就能解决了。
http://blog.youkuaiyun.com/luanxj/archive/2007/01/24/1491913.aspx

2applet路径问题

OMCAT_HOME/webapps/myapp/WEB-INF/classes/lib  
   
    Myapp目录被视为是Web   应用

软件 的根目录，所有的JSP，HTML，JavaScript文件和其他资源都位于这个目录之下。WEB-INF目录中包含应用软件所 使用 的资源，但是WEB-INF却不在公共文档根目录之中。在这个目录中所包含问的文件都不能被 客户 机所访问。

3

Policy Tool —

策略文件创建和管理工具

http://www.iplab.cs.tsukuba.ac.jp/~liuxj/jdk1.2/zh/docs/tooldocs/solaris/policytool.html

4

JDK1.2 中的权限

http://proxy73.nyist.net/java/javaweb/linuxjava/cjdk1_2-doc-zh/jdk1.2/zh/docs/guide/security/permissions.html
论述了 java.lang.SecurityManager这个类，通常较少被讨论。
（节选：）

权限代表对系统资源的访问。为了让 applet（或者安全管理器下运行的应用程序）能够进行某种资源访问，必须向要进行访问的代码明确授予相应的权限。

Java 应用程序环境的策略由 Policy 对象来提供。在缺省 Policy 实现中，可以在一个或多个策略配置文件中指定策略。策略文件规定来自指定代码源的代码可获得何种权限。下例中策略文件项授予 /home/sysadmin 目录下的代码对文件 /tmp/abc 的读访问权限：

  grant codeBase "file:/home/sysadmin/" {
    permission java.io.FilePermission "/tmp/abc", "read";
  };

从技术上来说，当试图访问资源时，除非线程中的某些代码已经标记为“特权”代码，否则上述执行线程在此前所包括的 所有代码都必须拥有访问这个资源的权限。有关“特权”代码的详细信息，参见 “特权块 API”。

本文档中包含了描述 JDK 1.2 内置权限类型的表和讨论授予各种权限的风险。此外，本文档还包含一些用于说明要求某些权限生效才能成功执行的各种方法的表，并且对应于各种方法列出了其所需的权限。

表如下所示：

权限描述和风险

AllPermission

AWTPermission

FilePermission

NetPermission

PropertyPermission

ReflectPermission

RuntimePermission

SecurityPermission

SerializablePermission

SocketPermission

 

它们所需的方法和权限

java.lang.SecurityManager 方法权限检查