ios超级签名原理解析

摘抄自:超级签名-原理/机制/技术细节-完全解析

超级签名流程:演示

签名原理:

所谓的超级签名原理其实就是使用了苹果提供给开发者的Ad-Hoc分发通道,把安装设备当做开发设备进行分发,换句话说就是用Ad-Hoc方式进行打包和分发。

既然是使用Ad-Hoc方式进行分发,那么签名也就继承了Ad-Hoc的所有优缺点:

优点:

1、直接分发,安装即可运行,不再需要用户去处理信任证书等操作。

2、应用稳定,基本不存在掉签的风险。

缺点:

1、单个开发者账号的IPhone设备数量最大是100台,导致签名成本非常高,超过后要用新的开发者账号重签。

2、开发者账号需要预先写入安装设备的UDID,在工具链不通的情况下,获取用户的UDID相对困难和繁琐,而且手动写入UDID不存在商用可行性,当然目前这个缺点被解决了。

整体运行流程图:


1、用户手机安装预留的描述文件,会向服务器发送设备udid。

2、服务器收到udid后,将udid添加到开发者账号下。

3、然后用此udid更新证书描述文件,用更新好的描述文件重签名ipa包。

4、最后将签名好的ipa包文件上传至服务器,分发给用户下载。

关键技术细节:

一、使用配置文件获取设备udid:

1、在你的Web服务器上创建一个.mobileconfig的XML格式的描述文件,提供给用户下载;

2、用户在所有操作之前必须通过某个点击操作完成.mobileconfig描述文件的下载安装;

3、配置好服务器需要的数据,比如:UDID,需要在.mobileconfig描述文件中配置好,以及服务器接收数据的URL地址;

4、当用户设备安装描述文件后,设备会回调你设置的URL,如果你的URL返回302跳转的话,Safari浏览器会跳转到你所给的地址;

XML代码格式如下:

   

        PayloadContent

       

            URL

            一个接收UDID的网址

            DeviceAttributes

           

                UDID

                IMEI

                ICCID

                VERSION

                PRODUCT

           

       

        PayloadOrganization

        GuangdongQi

        PayloadDisplayName

        AppFree

        PayloadVersion

        1

        PayloadUUID

        9CF421B3-9853-4454-BC8A-982CBD3C907C

        PayloadIdentifier

        com.gpon.profile-service

        PayloadDescription

        This temporary profile will be used to find and display your current device's UDID.

        PayloadType

        Profile Service

   

有两点需要注意的是:

1、接收网址的地址需要SSL签名;

2、mobileconfig下载时设置文件内容类型Content Type为:application/x-apple-aspen-config(遇到问题的都是因为这个),或者像这里用一个简单页面做好下载mobileconfig文件,引导用户安装

二、注册设备udid,并更新下载描述文件:

接下来的关键点就是如何在获取到用户的UDID之后,秒级完成注册新的开发者设备+更新Provisioning Profile,这里我们需要借助开源工具(Spaceship)


Spaceship公开了Apple Developer Center的API,而且执行速度比解析开发者Web页面快两个数量级,从而在非常短的时间内搞定Provisioning Profile。 这个框架解决了整套机制的关键问题,成为整个工具链的基石。

spaceship 是Fastlane的一个框架,安装spaceship:

sudo gem install fastlane -n /usr/local/bin

sudo gem install pry  -n /usr/local/bin

fastlane spaceship

这里具体怎么获取udid和更新Provisioning Profile的技术细节可以参考spaceship官方文档,或者参考我整理的超级签名核心源码。

三、自动签名IPA包:

自动签名其实应该有一万个解决方案,通过命令行脚本/Python脚本/或者其他第三方都能实现。

这里推荐使用Sigh这个框架来解决这个问题

安装sigh:

sudo gem install sigh

重签名ipa包:

fastlane sigh resign

这里具体对ipa包重签名可以参考sigh官方文档,或者参考我整理的核心源码。

四、将签名好的应用上传至服务器,分发给用户下载即可。可以借助AppDeploy这个框架进行分发。

五、结束语:

到目前为止,整套超级签名技术已经完全实现了。该技术仅可当作有兴趣的同学学习学习,不可进行商用选择。苹果对于App的分发审核管控可以说是非常严苛,这背后既有安全考虑,也有垄断利益。但无论如何,对于终端用户都是利大于弊的措施,App审核保护了无数的手机用户免受恶意程序的侵害。 个人强烈反对这种绕过审核的分发形式。同时我要指出,分发平台以这种情况绕过苹果的审核严重违反《APPLE开发商计划许可协议》的3.3.3条款。

你可能感兴趣的:(ios超级签名原理解析)