ios重签名shell脚本_Mac系统下应用重签名技术
概述
做为一个项目驱动的公司,在管理APP描述文件的时候,时常会遇到描述文件过期的问题,产生的影响是导致客户端应用无法使用,这时候用户会不知所措,给用户的体验造成影响,甚至会影响APP的流量。而大多数解决方案,是利用市场上的重签名工具对应用重新签名发布,或者利用Xcode重新打包发布,这对开发者来说极不友好。我们绝不能亡羊补牢,必须在风险到来前提前准备防御,在用户无感知的情况下修复问题。出于此目的,应用重签名技术便有了它的意义,如果你是还没有研究过或者正在研究重签名技术的话,那这篇文章会非常适合你。
前置条件
iOS应用重签名具有一定的前置条件和软件依赖,并不是跨平台的,至少这套方案不能在 Window 上使用。
依赖条件
MacOS操作系统
Apple开发者账号
/usr/libexec/PlistBuddy (MacOS自带)
security (MacOS自带)
codesign (MacOS自带)
zip
unzip
上述依赖条件为系统软件,如果 zip 和 unzip 软件不存在的话可以通过 HomeBrew 进行安装.
brew install zip;
brew install unzip;
iPA 简述
做为一个移动开发者应该知道 Android 的应用安装包为*.apk,而iOS的应用安装包则为*.ipa,事实上这些安装包都是可以通过unzip命令进行解压缩的压缩包,提取出来的文件是应用所需要的资源文件、应用配置文件、应用描述文件和应用二进制文件等,其中应用描述文件则是我们这次操作的目标。
除了应用描述文件需要关注外,在iPA中还存在一类应用,那就是 appex。这类应用为宿主应用的拓展应用,appex同样存在自己的描述文件,如果宿主应用描述文件更新成功,但是appex应用没有更新描述文件的话,同样是签名失败的。
总结,如果应用需要重签名的话,则需要判断是否存在appex应用,如果存在则需要对每一个 appex 目录进行重签名,最后对整体目录进行重签名,如果不存在的话则只需要对主目录进行重签名即可。
我们可以在爱思助手下载应用的iPA包,然后通过可视化软件进行解压。
描述文件中 BundleId 的能力
每一个 BundleId 都会有对应的 Capabilities,签名目标所拥有的能力一定不能比当前新描述文件所具备的能力少,如果新描述文件所具备的能力少于目标签名的对象,则签名同样失败。
重签名核心操作
重签名的核心操作是 codesign,该命令是 MacOS 下自带的命令,主要用于代码签名。
签名命令:
codesign -f -s "DEVELOPER_TEAM" "PLISTFILE_PATH" "SIGN_DIRECTORY"
其中 -f 代表 force 强制更新,-s 代表 sign。
-f, --force
When signing, causes codesign to replace any existing signature on the path(s) given. Without
this option, existing signatures will not be replaced, and the signing operation fails.
-s, --sign identity
Sign the code at the path(s) given using this identity. See SIGNING IDENTITIES below.
操作简述
分析完毕后,设计思路应该是:
解压目标
ipa包到临时目录
将应用下的embedded.mobileprovision替换为新的描述文件
将新描述文件转换为info.plist文件到临时目录
从上面操作后的info.plist中提取TeamName, Entitlements信息
最后利用重签名的核心操作对目录进行重签名
上述过程中的第2,3,4,5步,如果appex应用存在也需要重新同样的操作,如果不存在则不需要执行
签名完毕后,利用zip命令对应用重新打包成ipa文件
删除临时目录生成的垃圾文件
到此为止重签名的操作就完成了,我们利用 Shell 脚本将操作实现。
第一步:创建临时目录
创建临时目录,用来保存操作过程中产生的垃圾
# 创建临时目录
ROOT_PATH=$(pwd)
DIR_TMP_PATH="${ROOT_PATH}/temp"
# 删除旧目录并创建临时目录
rm -rf $DIR_TMP_PATH
mkdir $DIR_TMP_PATH
第二步:解压目标iPA
将需要重签名ipa包目录,解压到临时文件
# 从用户输入的参数中获取 iPA 地址
PARAM_IPA_PATH=$1
# 解压到临时目录
unzip -d $DIR_TMP_PATH $PARAM_IPA_PATH
第三步:封装重签名操作过程
无论是宿主应用还是拓展应用,其重签名的操作过程其实是一样的,我们把其封装成方法
# 从描述文件中提取完整plist文件
_getPlistFile(){
local _path=$1
local _name=$2
local originMobileprovisionPath="${_path}/embedded.mobileprovision"
local tempEntitle="${DIR_ENTITLEMENTS_TMP_PATH}/${_name}_temp.plist"
local entitle="${DIR_ENTITLEMENTS_TMP_PATH}/${_name}.plist"
security cms -D -i "$originMobileprovisionPath" > "${tempEntitle}"
# 提取 Entitlements 字段
/usr/libexec/PlistBuddy -x -c 'Print:Entitlements' $tempEntitle > $entitle
}
# 重签名拓展应用
reSign(){
local _path=$1
local _appexName=$2
local _tmpMbArray=(${_appexName/./ })
local _tmpMbName=${_tmpMbArray[0]}
# 把新的描述文件替换旧版描述文件
local _mbPath="${_path}/embedded.mobileprovision";
rm -rf _mbPath
for index in $(seq 0 ${#PARAM_APPEXMOBILEPROVISION[@]})
do
local appexMb=${PARAM_APPEXMOBILEPROVISION[index]}
local _tmpStrArray=(${appexMb })
local last=${#_tmpStrArray[@]}
((last-=1))
if [ $last -ge 0 ]
then
local _newAppexMb=${_tmpStrArray[last]}
if [[ $_newAppexMb =~ $_tmpMbName ]];
then
# 复制新的文件到目标目录
cp $appexMb $_mbPath
break
fi
fi
done
_getPlistFile $_path $_tmpMbName
local _plistPath="${DIR_ENTITLEMENTS_TMP_PATH}/${_tmpMbName}.plist";
echo $PARAM_DEVELOPTEAM
echo $_plistPath
echo $_path
codesign -f -s "${PARAM_DEVELOPTEAM}" --entitlements "${_plistPath}" "${_path}"
}
第四步:递归遍历所有目录
我们需要对所有文件夹进行判断,并且进行重签名操作
# 递归遍历目录
recursivePath(){
local _path=$1;
for item in $(ls "$_path")
do
local subPath="${_path}/${item}";
if [[ ${item} =~ '.appex' ]];
then
# 对应用拓展进行重签名
reSign "${subPath}" $item
else
if [ -d "$subPath" ];
then
recursivePath $subPath
fi
fi
done
}
# 宿主应用进行重签名操作
reSign "宿主应用描述文件路径" "宿主应用根目录"
第五步:打包新的iPA包
重签名操作完成后,我们新的目录重新进行压缩打包。
cd "新的文件目录中,必须到 /Payload 目录级"
zip -r "New.ipa" ./Payload
mv ./New.ipa "输出目录"
第六步:删除垃圾文件
所有操作完成后,就可以删除垃圾文件,这样我们的重签名操作就完成了。
# 移除垃圾文件
rm -rf $DIR_TMP_PATH
拓展延伸
为什么需要设计 Shell 脚本,因为方便和 Jenkins 等平台对接,我们利用脚本可以在服务端进行定时判断,可以在应用过期一个月前提前通知到开发者,这样开发者只需要提前一个月上传新的描述文件,系统将会自动完成更新。
利用 PlistBuddy 命令可以设计出更多个性化的功能,例如可以自定义版本号,APP名称等。