多くの場合、JARファイルは、単純なJavaのクラス・ファイルまたはリソースのアーカイブではありません。これらは、アプリケーションおよび拡張機能の構築ブロックとして使用されます。META-INFディレクトリが存在する場合は、セキュリティ、バージョン管理、拡張機能、サービスなど、パッケージおよび拡張機能の構成データを格納するときに使います。
名前-値ペアのグループを「セクション」と呼びます。セクションはほかのセクションと空白行で分けられます。
バイナリ・データは、どの形式であれbase64で表されます。行の長さが72バイトを超えるようなバイナリ・データについては継続が必要です。バイナリ・データの例はダイジェストおよび署名です。
実装によっては、65535バイトまでのヘッダー値がサポートされます。
このドキュメントの仕様には同一の文法が使われており、終端記号は固定幅のフォントで示され、終端以外の記号はイタリック書体で示されています。
; Also:To prevent mangling of files sent via straight e-mail, no
; header will start with the four letters "From".
上の仕様で定義されている終端以外の記号は、以降の仕様で使われています。
メイン・セクションには、JARファイル自体のセキュリティと構成情報以外に、そのJARファイルが使われているアプリケーションまたは拡張機能のセキュリティと構成情報を指定します。また、各マニフェスト・エントリに適用されるメイン属性も定義します。メイン・セクションの属性に、「Name」と同じ名前を付けることはできません。メイン・セクションは、空白行で終わります。
個別のセクションでは、このJARファイルに格納されているパッケージまたはファイルの様々な属性を定義します。JARファイル内のすべてのファイルをマニフェストのエントリにリストする必要はありませんが、署名するすべてのファイルはリストする必要があります。マニフェスト・ファイル自体はリストしないでください。各セクションは、「Name」という名前の属性で始まる必要があります。この属性の値は、ファイルへの相対パス、またはアーカイブの外部のデータを参照する絶対URLでなければなりません。
1つのファイル・エントリに複数の個別セクションがある場合は、これらのセクションの属性はマージされます。特定の属性の値がセクションによって異なる場合は、最後のセクションの値が認識されます。
理解できない属性は無視されます。アプリケーションによって使われる実装固有の情報に、理解できない属性が含まれていることがあります。
上の仕様では、メイン・セクションに指定した属性はメイン属性、個別セクションに指定した属性はエントリ別属性として参照されます。属性によっては、メイン・セクションと個別セクションの両方で指定できます。この場合、そのエントリでは、メイン属性の値はエントリ別属性の値によってオーバーライドされます。これら2種類の属性は、次のように定義されます。
Manifest-Version: 1.0 Created-By: 1.2 (Sun Microsystems Inc.) Sealed: true Name: foo/bar/ Sealed: false
この場合、foo.barパッケージを除き、a.jar内にアーカイブされているパッケージがすべてシールされます。
エントリ別属性は、次のグループに分類されます。
java.security
APIを直接使います。JARファイルをjarsignerツールで署名した場合は、META-INF
ディレクトリ内の署名に関係しないファイルを含め、すべてのファイル・エントリが署名されます。署名に関係するファイルは次のとおりです。
META-INF/MANIFEST.MF
META-INF/*.SF
META-INF/*.DSA
META-INF/*.RSA
META-INF/SIG-*
META-INF
サブディレクトリ内にあっても、それらのファイルは署名に関係するファイルとは見なされません。上記のファイル名と大文字と小文字の区別が異なるファイル名は予約済みで、それらのファイルは署名されません。
JARファイルのサブセットを署名するには、java.security
APIを使用します。署名されたJARファイルは、ファイルのマニフェストが更新されていることとMETA-INF
ディレクトリに署名ファイルと署名ブロック・ファイルが追加されていることを除けば、元のJARファイルとまったく同じです。jarsignerを使用しない場合、署名プログラムは、署名ファイルと署名ブロック・ファイルの両方を構築する必要があります。
署名付きJARファイル内で署名されたすべてのファイル・エントリについて、そのエントリがすでにマニフェスト内に存在していないかぎり、個別のマニフェスト・エントリが作成されます。各マニフェスト・エントリには、1つまたは複数のダイジェスト属性とオプションのMagic属性がリストされます。
.SF
の署名ファイルによって表されます。このファイルの大部分は、マニフェスト・ファイルと同じです。このファイルは、署名者から提供された情報を含むメイン・セクションで構成されますが、この情報は特定のjarファイル・エントリに固有のものではありません。メイン・セクションには、Signature-Version
およびCreated-By
属性(「メイン属性」を参照)に加えて、次のセキュリティ属性を含めることができます。
java.security.MessageDigest
アルゴリズムの標準名)。この属性の値は、マニフェストのメイン属性のダイジェスト値になる。java.security.MessageDigest
アルゴリズムの標準名)。この属性の値は、マニフェスト全体のダイジェスト値になる。マニフェスト・ファイルに登場するが署名ファイルには登場しないパスまたはURLは、計算に使用されません。
マニフェストがはじめて解析されるときに、署名を署名ファイルに対して検証します。効率化のために、この検証結果を記録しておくことができます。この検証では、実際のアーカイブ・ファイルでなく、署名そのものだけが検証されます。
署名ファイルに1つのx-Digest-Manifest
属性が存在する場合は、マニフェスト全体から計算したダイジェストに照らして値を検証します。署名ファイルに複数のx-Digest-Manifest
属性が存在する場合は、そのうち少なくとも1つが計算したダイジェスト値と一致することを検証します。
署名ファイルにx-Digest-Manifest
属性が存在しないか、前の手順で計算したダイジェスト値がいずれも一致しない場合は、効率的に劣る方法で検証が行われます。
署名ファイルに1つのx-Digest-Manifest-Main-Attributes
エントリが存在する場合は、マニフェスト・ファイル内のメイン属性から計算したダイジェストに照らして値を検証します。この計算に失敗すると、JARファイルの検証が失敗します。この判断は、効率化のために記録しておくことができます。署名ファイルにx-Digest-Manifest-Main-Attributes
エントリが存在しなくても、JARファイルの検証に影響はなく、マニフェストのメイン属性が検証されないだけです。
署名ファイルの各ソース・ファイル情報セクション内の値を、マニフェスト・ファイルの対応するエントリから計算したダイジェスト値に照らして検証します。いずれのダイジェスト値も一致しない場合、JARファイルの検証が失敗します。
x-Digest-Manifest
属性に格納されたマニフェスト・ファイルのダイジェスト値が現在のマニフェスト・ファイルのダイジェスト値と一致しない場合は、署名(および署名ファイル)の生成後に(jarツールを使用して) JARファイルに1つ以上のファイルが追加された可能性があります。jarツールを使用してファイルを追加した場合、マニフェスト・ファイルは(新しいファイル用のセクションが追加されて)変更されますが、署名ファイルは変更されません。この場合、署名ファイルのヘッダー以外のセクションに格納されたダイジェスト値が、マニフェスト・ファイル内の対応するセクションのダイジェスト値と一致するときは、署名の生成時にJARファイル内に存在していたファイルのうち、どのファイルも変更されていないことになり、検証は成功したものとして扱われます。
マニフェスト内のエントリごとに、「Name:」属性から参照される実際のデータ(相対ファイル・パスまたはURL)から計算されたダイジェストに照らして、マニフェスト・ファイル内のダイジェスト値を検証します。いずれのダイジェスト値も一致しない場合、JARファイルの検証が失敗します。
マニフェスト・ファイルの例:
Manifest-Version: 1.0 Created-By: 1.7.0 (Sun Microsystems Inc.) Name: common/class1.class SHA-256-Digest: (base64 representation of SHA-256 digest) Name: common/class2.class SHA1-Digest: (base64 representation of SHA1 digest) SHA-256-Digest: (base64 representation of SHA-256 digest)対応する署名ファイルは次のようになります。
Signature-Version: 1.0 SHA-256-Digest-Manifest: (base64 representation of SHA-256 digest) SHA-256-Digest-Manifest-Main-Attributes: (base64 representation of SHA-256 digest) Name: common/class1.class SHA-256-Digest: (base64 representation of SHA-256 digest) Name: common/class2.class SHA-256-Digest: (base64 representation of SHA-256 digest)
Magic属性はオプションですが、パーサーがそのエントリの署名を検証する場合は、エントリのMagicキーの値を理解する必要があります。
Magic属性の値は、カンマで区切られたコンテキスト固有の文字列のセットです。カンマの前後の空白は無視されます。大文字小文字も無視されます。Magic属性の正確な意味はアプリケーションによって異なります。これらの属性は、マニフェスト・エントリに含まれるハッシュ値の計算方法を示し、そのため署名の正しい検証には欠くことのできないものです。このキーワードは、動的または埋込みコンテンツ、多国語ドキュメント用の複数ハッシュなどに使用します。
次に、マニフェスト・ファイルでのMagic属性の使用例を2つ示します。
Name: http://www.example-scripts.com/index#script1 SHA-256-Digest: (base64 representation of SHA-256 hash) Magic: JavaScript, Dynamic Name: http://www.example-tourist.com/guide.html SHA-256-Digest: (base64 representation of SHA-256 hash) SHA-256-Digest-French: (base64 representation of SHA-256 hash) SHA-256-Digest-German: (base64 representation of SHA-256 hash) Magic: Multilingual
最初の例では、これらMagicの値はhttp問い合わせの結果がドキュメント自身ではなく、ドキュメントに埋め込まれたスクリプトであり、またそのスクリプトが動的に生成されるということを示します。この2つの情報は、マニフェストのダイジェスト値と比較し、有効な署名と比較するハッシュ値の計算方法を示します。
第2の例では、Magic値は検索されたドキュメントの内容は特定の言語であるという合意を示し、検証のためのダイジェストの値は検索されたドキュメントを記述する言語に依存することを示します。
.SF
署名ファイルです。これらはバイナリ・ファイルであり、人間が解釈することは意図されていません。
デジタル署名ファイルは、.SFファイルとファイル名は同じですが、拡張子が異なります。拡張子はデジタル署名のタイプによって変化します。
.RSA
(PKCS7署名、SHA-256+RSA).DSA
(PKCS7署名、DSA)META-INF
ディレクトリに置き、「SIG-
」という接頭辞を付ける必要があります。対応する署名ファイル(.SF
ファイル)にも同じ接頭辞を付けなければなりません。
外部署名データをサポートしない形式については、ファイルは.SF
ファイルの署名されたコピーで構成されることになります。したがって、一部のデータが重複する可能性があるため、ベリファイアは2つのファイルを比較する必要があります。
外部データをサポートする形式は、.SF
ファイルを参照するか、暗黙的な参照によって計算を実行します。
各.SF
ファイルは複数のデジタル署名を持つ可能性がありますが、これらの署名は同じ正当なエンティティによって生成される必要があります。
ファイル名の拡張子には、1 - 3文字の英数字を使うことができます。認識されない拡張子は無視されます。
既存のjarツールの機能が拡張され、jarファイルのリストを検査して、クラスおよびリソースがどのjarファイルに配置されているかについてのディレクトリ情報を生成できるようになりました。このディレクトリ情報は、ルートjarファイルのMETA-INFディレクトリにあるINDEX.LISTという名前の、単純なテキスト・ファイル内に格納されます。クラス・ローダーによって、ルートjarファイルがロードされ、INDEX.LISTファイルが読み込まれ、そのファイルを使用して、ファイル名とパッケージ名からjarファイル名のリストへのマッピングを格納したハッシュ表が構築されます。クラス・ローダーがクラスまたはリソースを検索する場合、ハッシュ表を問い合わせて適切なjarファイルを検出した後、必要に応じてダウンロードします。
クラス・ローダーによって、特定のjarファイルでINDEX.LISTファイルが検出されると、そのファイルにリストされた情報は常に信頼されます。クラス・ローダーによって特定のクラスのマッピングが検出されたあとで、リンクをたどってもそのクラスが検出されなかった場合は、InvalidJarIndexExceptionがスローされます。この例外が発生した場合は、アプリケーション開発者は、拡張機能に対してjarツールを実行し直し、インデックス・ファイルに正しい情報を取得する必要があります。
大量の領域オーバーヘッドの発生をアプリケーションで回避し、インメモリー・ハッシュ表を高速で構築するために、INDEX.LISTファイルの容量はできるかぎり小さくなるように管理されます。クラスのパッケージ名がnullでない場合は、マッピングはパッケージ・レベルで記録されます。通常は、1つのパッケージ名が1つのjarファイルにマッピングされますが、パッケージが複数のjarファイルにわたる場合には、このパッケージのマップされた値はjarファイルのリストになります。リソース・ファイルにディレクトリの接頭辞がある場合は、マッピングはディレクトリ・レベルでも記録されます。パッケージ名がnullのクラスの場合およびルート・ディレクトリにリソース・ファイルが格納されている場合にのみ、マッピングが個別のファイル・レベルで記録されます。
インデックス・ファイルのファイル名またはパッケージ名に、ASCII以外の文字が使われているときは、UTF-8エンコーディングが使われます。
META-INF/servicesディレクトリ内のファイルは、サービス・プロバイダの構成ファイルです。「サービス」とは、既知のインタフェースおよびクラス(通常はabstractクラス)のセットです。「サービス・プロバイダ」とは、特定のサービスの実装です。通常、プロバイダのクラスによって、サービス自体に定義されているクラスのインタフェースとサブクラスが実装されます。サービス・プロバイダをJavaプラットフォームの実装にインストールするときは、拡張機能の形式、つまり、拡張機能の通常のディレクトリに配置されるjarファイルの形式で行われます。プロバイダを利用可能にするには、アプレットまたはアプリケーションのクラス・パスに追加するか、プラットフォーム固有の方法を使います。
サービスは、抽象クラスによって表現されます。サービスのプロバイダには、このプロバイダに固有のデータおよびコードを使用してこのサービス・クラスを拡張する1つ以上の具象クラスが含まれています。通常、このプロバイダ・クラスは、プロバイダ全体そのものではなく、要求時に実際のプロバイダを作成できるコードと、プロバイダが特定の要求を満たすことができるかどうかを識別するために必要な情報で構成されるプロキシになります。プロバイダ・クラスの詳細は、個別のサービスにより大きく異なります。1つのクラスまたはインタフェースでプロバイダ・クラスを統合することはできないため、このようなクラスは定義されていません。プロバイダ・クラスには、参照中にインスタンス化できるように、ゼロ引数のコンストラクタが必要です。
サービス・プロバイダは、リソース・ディレクトリMETA-INF/servicesにプロバイダ構成ファイルを配置することによって識別されます。このファイルの名前は、完全指定されたabstractサービス・クラス名で構成する必要があります。このファイルには、改行文字で区切られた、一意の具象プロバイダ・クラス名のリストを含める必要があります。空白文字とタブ文字、および空白行は無視されます。コメント文字は「#」(0x23)で、行の最初のコメント文字に続く文字はすべて無視されます。ファイルはUTF-8で符号化されている必要があります。
public abstract CharEncoder getEncoder(String encodingName);
public abstract CharDecoder getDecoder(String encodingName);
これらのメソッドは、渡されたエンコーディングを変換できない場合、適切なオブジェクトまたはnullを返します。標準のCharCodecプロバイダでは、複数のエンコーディングがサポートされています。
sun.io.StandardCodecがCharCodecサービスのプロバイダの場合は、jarファイルにMETA-INF/services/java.io.spi.CharCodecファイルが含まれます。このファイルには、次の行が含まれます。
sun.io.StandardCodec # Standard codecs for the platform
特定のエンコーディング名のエンコーダを検索するには、内部のI/Oコードによって次のような処理が行われます。
CharEncoder getEncoder(String encodingName) { Iterator ps = Service.providers(CharCodec.class); while (ps.hasNext()) { CharCodec cc = (CharCodec)ps.next(); CharEncoder ce = cc.getEncoder(encodingName); if (ce != null) return ce; } return null; }
プロバイダのルックアップ・メカニズムは、常に呼出し側のセキュリティ・コンテキストで実行されます。信頼できるシステム・コードでは、通常、このクラスのメソッドは特権付きのセキュリティ・コンテキストから呼び出す必要があります。
アプリケーションのマニフェストでは、必要なその他のライブラリが含まれるJARファイルとディレクトリを参照する1つ以上の相対URLを指定できます。これらの相対URLは、アプリケーションのロード元であるコード・ベースと相対的な位置関係にあるものとして扱われます。
アプリケーション(より一般的には、JARファイル)は、必要なライブラリの相対URLを、マニフェスト属性Class-Path
で指定します。この属性では、ホストのJava仮想マシンで他のライブラリの実装が見つからなかった場合、それらを検索するURLを列挙します。この相対URLには、アプリケーションが必要とするライブラリまたはリソースが含まれるJARファイルとディレクトリを含めることができます。スラッシュ(/
)で終わらない相対URLは、JARファイルを参照しているものとみなされます。たとえば、
Class-Path: servlet.jar infobus.jar acme/beans.jar images/
JARファイルのマニフェストで指定できるClass-Path
ヘッダーは1つだけです。
現時点では、セキュリティ上の理由により、URLはJARファイルのコード・ベースから相対的に指定する必要があります。したがって、リモート・オプション・パッケージは、アプリケーションと同じコード・ベースを元にして指定します。
それぞれの相対URLは、アプリケーションまたはライブラリが含まれているファイルのロード元であるコード・ベースと突き合わせる形で解決されます。解決されたURLが無効であるか、参照するリソースが見つからない場合、そのURLは無視されます。
解決されたURLは、アプリケーション、アプレット、またはサーブレットのクラス・パスの拡張に使用され、クラス・パスの、そのアプリケーション、アプレット、またはサーブレットが含まれるJARファイルのURLの直後に挿入されます。重複するURLは取り除かれます。たとえば、次のようなクラス・パスが指定されているとします。
a.jar b.jar
b.jar
に、次のようなマニフェスト属性Class-Path
が含まれているとします。
Class-Path: x.jar a.jar
最終的なアプリケーション・クラス・パスは次のようになります。
a.jar b.jar x.jar
x.jar
に依存情報が含まれる場合は、依存ファイルはこれと同じ規則に従って追加されます。後に続くURLについても同様です。実際の実装では、JARファイルの依存関係は先に処理されるのではなく、JARファイルが必要になったときまで開かれません。
JARファイルとパッケージは、同一バージョン内で整合性が保たれるように、オプションでシールすることができます。
JARファイル内のパッケージをシールした場合、そのパッケージ内で定義されているすべてのクラスは、同一のJARファイルが元になっていなければなりません。そうでない場合は、SecurityException
がスローされます。
JARファイルをシールした場合、そのJARファイルで定義されているすべてのパッケージは、特別に設定をオーバーライドしないかぎり、シールされます。
パッケージをシールするかどうかは、マニフェスト属性Sealed
で指定します。このマニフェスト属性は、true
かfalse
の値をとります。大文字小文字は区別されません。たとえば、
Name: javax/servlet/internal/ Sealed: true
このように指定すると、javax.servlet.internal
がシールされ、このパッケージに含まれるすべてのクラスは同一のJARファイルからロードされなければなりません。
この属性が指定されていない場合は、パッケージのシール属性は、そのパッケージが含まれるJARファイルのシール属性と同じになります。
JARファイルをシールするかどうかは、上と同じマニフェスト・ヘッダーSealed
で指定します。このマニフェスト・ヘッダーも、同じくtrue
かfalse
の値をとります。たとえば、
Sealed: true
このように指定すると、このアーカイブに含まれるすべてのパッケージは、マニフェスト・エントリの中でSealed
属性により明示的に設定をオーバーライドしないかぎり、シールされます。
この属性が指定されていない場合は、下位互換性を保つため、そのJARファイルはシールされていないものとみなされます。このあと、システムはシール情報を見るため、パッケージのヘッダーのチェックを継続します。
パッケージをシールすると、パッケージ保護されたメンバーへのアクセスは、同一のJARファイルが元になるパッケージで定義されているクラスに制限されるため、パッケージのシールはセキュリティの上でも重要です。
また、名前のないパッケージはシールできないので、シールすべきクラスはその独自のパッケージ内に置く必要があります。
パッケージjava.util.jar
パッケージjava.security
パッケージjava.util.zip