J'ai réussi à créer un fichier jar principal, copier les dépendances à un seul répertoire, la seule étape restante est de signer tous les jars.Peut maven signer non seulement jar produit, mais aussi les dépendances
Je peux signer mon propre pot produit dans le cadre de jar: signer, mais comment puis-je signer des dépendances?
Merci
Voici quelques options:
ajouter à plug-in config <archiveDirectory>target</archiveDirectory>
Si vous utilisez maven-jar-plugin, vous pouvez spécifier unique pot à signer en utilisant le paramètre "jarPath". La configuration suivante provoque le pot-avec-dépendances fichier à signer à la place du fichier jar-moins de dépendance:
<plugin>
<artifactId>maven-jar-plugin</artifactId>
<executions>
<execution>
<goals>
<goal>sign</goal>
</goals>
</execution>
<execution>
<id>make-assembly</id>
<phase>package</phase>
<goals>
<goal>sign</goal>
</goals>
</execution>
</executions>
<configuration>
<!-- NOTE: The secret key is in shared version control. The
password is in shared version control. This IS NOT
SECURE. It's intended to help avoid accidentally
loading the wrong class, nothing more. -->
<jarPath>${project.build.directory}/${project.build.FinalName}-${project.packaging}-with-dependencies.${project.packaging}</jarPath>
<keystore>${basedir}/keystore</keystore>
<alias>SharedSecret</alias>
<storepass>FOO</storepass>
</configuration>
</plugin>
Si vous voulez signer les deux, je ne sais pas comment faire avec maven-jar-plugin , donc vous devrez peut-être regarder dans les autres options mentionnées ci-dessus.
On peut également créer un fichier JAR unique en utilisant le plugin maven-assembly. Avec l'autre suggestion d'Eric Anderson (de signer un autre JAR), on peut alors signer ce JAR assemblé (au lieu du JAR d'origine). Notez que l'ordre des définitions de plugin est important ici.
On suppose que sign.keystore.file etc. est défini ailleurs (par exemple dans un profil).
<build>
<plugins>
<!-- It seems that maven-assembly-plugin must be declared before the maven-jar-plugin,
so that it is executed first in the package phase,
and then the signing of the packaged jar can succeed. -->
<plugin>
<artifactId>maven-assembly-plugin</artifactId>
<version>2.4</version>
<configuration>
<descriptorRefs>
<descriptorRef>jar-with-dependencies</descriptorRef>
</descriptorRefs>
<archive>
<manifestEntries>
<!-- ... -->
</manifestEntries>
</archive>
</configuration>
<executions>
<execution>
<id>make-assembly</id>
<phase>package</phase>
<goals>
<goal>single</goal>
</goals>
</execution>
</executions>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-jar-plugin</artifactId>
<version>2.4</version>
<executions>
<execution>
<goals>
<goal>jar</goal>
</goals>
</execution>
<execution>
<id>make-assembly</id>
<phase>package</phase>
<goals>
<goal>sign</goal>
</goals>
<configuration>
<jarPath>${project.build.directory}/${project.build.FinalName}-${project.packaging}-with-dependencies.${project.packaging}</jarPath>
<keystore>${sign.keystore.file}</keystore>
<type>${sign.keystore.type}</type>
<storepass>${sign.keystore.storepass}</storepass>
<alias>${sign.keystore.alias}</alias>
<verify>true</verify>
<verbose>false</verbose>
<removeExistingSignatures>true</removeExistingSignatures>
</configuration>
</execution>
</executions>
<configuration>
<archive>
<manifest>
<!-- <addClasspath>true</addClasspath> -->
</manifest>
<manifestEntries>
<!-- ... -->
</manifestEntries>
</archive>
</configuration>
</plugin>
</plugins>
</build>
Ce serait un paramètre plugin jarsigner (http://maven.apache.org/plugins/maven-jarsigner-plugin/sign-mojo.html#archiveDirectory), mais la cible est pas une bonne valeur. Le répertoire cible ne correspond pas à la racine du fichier jar désiré. – Eero