Apk 签名的那些事

Android不允许没有签名的apk安装到手机上，应用的签名类似于应用的身份证

签名更大的作用是为了保护版权，如果应用的包名相同而签名不一致，则无法覆盖安装，必须先卸载再安装

创建一个签名

其中密钥发布组织单元和密钥发布组织不一定要填写，其他的要填写

为了拯救纠正症患者，在这里附上签名的示例

在 Gradle 中配置签名

android {

    signingConfigs {
        release {
            keyAlias '密钥别称'
            keyPassword '密钥密码'
            storeFile file('E:/MySign.jks')
            storePassword '密钥库密码'
        }

        debug {
            keyAlias '密钥别称'
            keyPassword '密钥密码'
            storeFile file('E:/MySign.jks')
            storePassword '密钥库密码'
        }
    }

    buildTypes {
        release {
            // 正式环境签名
            signingConfig signingConfigs.release
        }

        debug {
            // 开发环境签名
            signingConfig signingConfigs.debug
        }
    }
}

这里重点说一下 debug 签名，如果没有指定签名则默认使用系统自动生成的 debug 签名，每台电脑生成的签名文件不会相同，因为我测试过用其他同事的手机覆盖安装应用，却提示要先卸载后才能安装

获取签名的 MD5、SHA1、SHA256 值

打开 cmd 命令行，输入以下指令：

keytool -list -v -keystore 签名文件地址

输入密码，在命令行窗口是看不到输入的密码，所以只管输入之后回车即可

Android Debug的签名文件在以下的路径，密钥库密码为：android

C:\Users\电脑当前用户名\.android\debug.keystore

验证apk签名

在 cmd 命令行中输入

jarsigner -verify -verbose -certs apk文件地址

正确的签名，证书到期日期为约定有效期后的日期

  X.509, CN=HJQ, L=guangdong, ST=shantou, C=CN
  [证书的有效期为17-3-30 下午4:43至67-3-18 下午4:43]
  [CertPath 未验证: Path does not chain with any of the trust anchors]

  s = 已验证签名
  m = 在清单中列出条目
  k = 在密钥库中至少找到了一个证书
  i = 在身份作用域内至少找到了一个证书

jar 已验证。

警告:
此 jar 包含证书链未验证的条目。
此 jar 包含的签名没有时间戳。如果没有时间戳, 则在签名者证书的到期日期 (2067-03-1
8) 或以后的任何撤销日期之后, 用户可能无法验证此 jar。

debug签名信息，有效期大约为30年

  X.509, C=US, O=Android, CN=Android Debug
  [证书的有效期为16-11-22 下午6:15至46-11-15 下午6:15]
  [CertPath 未验证: Path does not chain with any of the trust anchors]

  s = 已验证签名
  m = 在清单中列出条目
  k = 在密钥库中至少找到了一个证书
  i = 在身份作用域内至少找到了一个证书

jar 已验证。

警告:
此 jar 包含证书链未验证的条目。
此 jar 包含的签名没有时间戳。如果没有时间戳, 则在签名者证书的到期日期 (2046-11-1
5) 或以后的任何撤销日期之后, 用户可能无法验证此 jar。

签名不完整，未签名或签名错误

  s = 已验证签名
  m = 在清单中列出条目
  k = 在密钥库中至少找到了一个证书
  i = 在身份作用域内至少找到了一个证书

jar 未签名。(缺少签名或无法解析签名)

手动签名

可以用 360 提供的签名工具进行签名，可以到 360 官网进行下载或者 QQ群 78797078 中下载