摘抄自:超级签名-原理/机制/技术细节-完全解析
超级签名流程:演示
签名原理:
所谓的超级签名原理其实就是使用了苹果提供给开发者的Ad-Hoc分发通道,把安装设备当做开发设备进行分发,换句话说就是用Ad-Hoc方式进行打包和分发。
既然是使用Ad-Hoc方式进行分发,那么签名也就继承了Ad-Hoc的所有优缺点:
优点:
1、直接分发,安装即可运行,不再需要用户去处理信任证书等操作。
2、应用稳定,基本不存在掉签的风险。
缺点:
1、单个开发者账号的IPhone设备数量最大是100台,导致签名成本非常高,超过后要用新的开发者账号重签。
2、开发者账号需要预先写入安装设备的UDID,在工具链不通的情况下,获取用户的UDID相对困难和繁琐,而且手动写入UDID不存在商用可行性,当然目前这个缺点被解决了。
整体运行流程图:
1、用户手机安装预留的描述文件,会向服务器发送设备udid。
2、服务器收到udid后,将udid添加到开发者账号下。
3、然后用此udid更新证书描述文件,用更新好的描述文件重签名ipa包。
4、最后将签名好的ipa包文件上传至服务器,分发给用户下载。
关键技术细节:
一、使用配置文件获取设备udid:
1、在你的Web服务器上创建一个.mobileconfig的XML格式的描述文件,提供给用户下载;
2、用户在所有操作之前必须通过某个点击操作完成.mobileconfig描述文件的下载安装;
3、配置好服务器需要的数据,比如:UDID,需要在.mobileconfig描述文件中配置好,以及服务器接收数据的URL地址;
4、当用户设备安装描述文件后,设备会回调你设置的URL,如果你的URL返回302跳转的话,Safari浏览器会跳转到你所给的地址;
XML代码格式如下:
有两点需要注意的是:
1、接收网址的地址需要SSL签名;
2、mobileconfig下载时设置文件内容类型Content Type为:application/x-apple-aspen-config(遇到问题的都是因为这个),或者像这里用一个简单页面做好下载mobileconfig文件,引导用户安装
二、注册设备udid,并更新下载描述文件:
接下来的关键点就是如何在获取到用户的UDID之后,秒级完成注册新的开发者设备+更新Provisioning Profile,这里我们需要借助开源工具(Spaceship)
Spaceship公开了Apple Developer Center的API,而且执行速度比解析开发者Web页面快两个数量级,从而在非常短的时间内搞定Provisioning Profile。 这个框架解决了整套机制的关键问题,成为整个工具链的基石。
spaceship 是Fastlane的一个框架,安装spaceship:
sudo gem install fastlane -n /usr/local/bin
sudo gem install pry -n /usr/local/bin
fastlane spaceship
这里具体怎么获取udid和更新Provisioning Profile的技术细节可以参考spaceship官方文档,或者参考我整理的超级签名核心源码。
三、自动签名IPA包:
自动签名其实应该有一万个解决方案,通过命令行脚本/Python脚本/或者其他第三方都能实现。
这里推荐使用Sigh这个框架来解决这个问题
安装sigh:
sudo gem install sigh
重签名ipa包:
fastlane sigh resign
这里具体对ipa包重签名可以参考sigh官方文档,或者参考我整理的核心源码。
四、将签名好的应用上传至服务器,分发给用户下载即可。可以借助AppDeploy这个框架进行分发。
五、结束语:
到目前为止,整套超级签名技术已经完全实现了。该技术仅可当作有兴趣的同学学习学习,不可进行商用选择。苹果对于App的分发审核管控可以说是非常严苛,这背后既有安全考虑,也有垄断利益。但无论如何,对于终端用户都是利大于弊的措施,App审核保护了无数的手机用户免受恶意程序的侵害。 个人强烈反对这种绕过审核的分发形式。同时我要指出,分发平台以这种情况绕过苹果的审核严重违反《APPLE开发商计划许可协议》的3.3.3条款。