JSPatch的使用

1, JSPatch热更新

众所周知,AppStore 上发布需要有个一非常恶心的审核期,而且很可能被拒绝掉,发布或者迭代一个 App一般耗时是5-10个工作日.但是如果线上版本出现了一些问题,或者公司市场部突然要做某些活动,这就会让 iOS 的程序员手忙脚乱.现在市场上很多大公司比如淘宝,58同城等都采用了 OC 和 HTML5 混编方法处理我说的那几个问题, 这是现在最好的热更新解决方案 ,但是 iOS 程序员去写 H5有点不现实

2,为什么能热更新,原理

能做到通过JS调用和改写OC方法最根本的原因是 Objective-C 是动态语言，OC上所有方法的调用/类的生成都通过 Objective-C Runtime 在运行时进行，我们可以通过类名/方法名得到相应的类和方法,进一步用 js 的代码来代替实现方法.
JSPatch用iOS内置的JavaScriptCore.framework作为JS引擎，但没有用它JSExport的特性进行JS-OC函数互调，而是通过Objective-C Runtime，从JS传递要调用的类名函数名到Objective-C，再使用NSInvocation动态调用对应的OC方法。

3,优缺点

1>.JS语言
JS比Lua在应用开发领域有更广泛的应用，目前前端开发和终端开发有融合的趋势，作为扩展的脚本语言，JS是不二之选。
2>.符合Apple规则
JSPatch更符合Apple的规则。iOS Developer Program License Agreement里3.3.2提到不可动态下发可执行代码，但通过苹果JavaScriptCore.framework或WebKit执行的代码除外，JS正是通过JavaScriptCore.framework执行的。
3>.小巧
使用系统内置的JavaScriptCore.framework，无需内嵌脚本引擎，体积小巧。
4>.支持block
wax在几年前就停止了开发和维护，不支持Objective-C里block跟Lua程序的互传，虽然一些第三方已经实现block，但使用时参数上也有比较多的限制。
风险
JSPatch让脚本语言获得调用所有原生OC方法的能力，不像web前端把能力局限在浏览器，使用上会有一些安全风险：
1>.若在网络传输过程中下发明文JS，可能会被中间人篡改JS脚本，执行任意方法，盗取APP里的相关信息。可以对传输过程进行加密，或用直接使用https解决。
2>.若下载完后的JS保存在本地没有加密，在未越狱的机器上用户也可以手动替换或篡改脚本。这点危害没有第一点大，因为操作者是手机拥有者，不存在APP内相关信息被盗用的风险。若要避免用户修改代码影响APP运行，可以选择简单的加密存储。

4,如何使用

jspatch官方网站

1,注册账号,以及app,会生成一个appkey

2,导入框架和依赖项和AppDelegate

在该平台下载SDK解压后将JSPatch.framework拖入项目
添加依赖框架libz.dylib和JavaScriptCore.framework
1中startWithAppKey传入平台申请的appKey，启动JSPatch SDK,同时会自动执行已下载到本地的patch.
2中sync与JSPatch平台后台更新，询问是否有patch更新，如果有更新会自动下载并执行。startWithAppKey并不会询问后台patch更新，必须调用sync方法。注意：**实时性不高的App只需在didFinishLaunchingWithOptions处调用一次，用户启动时就会同步patch信息；实时性要求高的App，在applicationDidBecomeActive处调用，用户每次唤醒App时就同步一次后台

在AppDelegate.m的didFinishLaunchingWithOptions中添加如下代码：
    //添加头文件
    #import 
    //1
    [JSPatch startWithAppKey:JSPatchKey] //JSPatchKey是创建App获得的AppKey
    //2
    [JSPatch sync]

3,测试本地脚本

在上线之前需要对脚本进行本地测试查看运行是否正常，注意JSPatch平台规范，JS脚本文件名必须是main.js。SDK提供了方法+testScriptInBundle用于发布前测试，调用该方法后，JSPatch会在当前项目的bundle寻找main.js。
注意：+testScriptInBundle不能与+startWithAppKey一起调用，+testScriptInBundle只能用于本地测试，测试完需删除

4,发布版本

• 添加版本

  
  
  
• 发布补丁

5,自定义RSA密钥和安全问题

为避免js脚本传输过程被中间人篡改，我们需要对js文件进行RSA签名加密，具体流程：
服务端
计算js文件MD5值
用RSA私钥对MD值加密，与JS文件一起下发给客户端
客服端
拿到加密数据，用RSA公钥解密出MD5值
本地计算返回的js文件MD5值
对比2个MD5值，相等则校验通过，保存JS文件到本地
当保存到本地时，越狱机器会有点风险，我们可以通过对称加密保存，然后读取时解密。

客户端和JSPatch后台默认有一对RSA密钥，默认会对这对密钥进行加解密验证。也可以自定义RSA密钥。

6,自定义RSA密钥

生成RSA密钥。在终端输入下列代码后再当前目录就有rsa_private_key.pem和rsa_public_key.pem。密钥长度可选1024/2048/3072/4096...

openssl > genrsa -out rsa_private_key.pem 1024 pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

2,SDK设置RSA Public Key。客户端接入SDK后调用+setupRSAPublicKey:
设置定义的RSA Public Key，必须在+sync
之前调用。Public Key以字符串方式传入，换行处需要手动加换行符。

3,使用Private Key下发脚本。下发脚本时勾选使用自定义RSA Key 选项，选择本地的rsa_private_key.pem与脚本一起上传。JSPatch平台使用上传的Private Key对脚本MD5值进行加密，然后下发客户端。客户端通过第二部设置的Public Key对脚本进行验证，通过则运行。注意：上传的rsa_private_key.pem只是一次性使用，用户必须保存rsa_private_key.pem文件

7,Objc代码转JS代码

JSPatch 的 OC 代码转化
JSPatch基础用法
JSPatch官网
JSPatch文档
demo地址