1) 發送者的身份認證
由于開發商可能通過使用相同的Package Name來混淆替換已經安裝的程式,以此保證簽名不同的包不被替換
2) 保證資訊傳輸的完整性
簽名對于包中的每個檔案進行處理,以此確定包中内容不被替換
3) 防止交易中的抵賴發生,Market對軟體的要求
1) 所有的應用程式都必須有數字證書,Android系統不會安裝一個沒有數字證書的應用程式
2) Android程式包使用的數字證書可以是自簽名的,不需要一個權威的數字證書機構簽名認證
3) 如果要正式釋出一個Android應用,必須使用一個合适的私鑰生成的數字證書來給程式簽名,而不能使用adt插件或者ant工具生成的調試證書來釋出
4) 數字證書都是有有效期的,Android隻是在應用程式安裝的時候才會檢查證書的有效期。如果程式已經安裝在系統中,即使證書過期也不會影響程式的正常功能
5) 簽名後需使用zipalign優化程式
6) Android将數字證書用來辨別應用程式的作者和在應用程式之間建立信任關系,而不是用來決定最終使用者可以安裝哪些應用程式
有三種打包方式:指令行手動打包、ant自動編譯打包、eclipse+ADT編譯打包,打包步驟如下:
第一步 生成R.java類檔案:
Eclipse中會自動生成R.java,ant和指令行使用android SDK提供的aapt.ext程式生成R.java。
第二步 将.aidl檔案生成.java類檔案:
Eclipse中自動生成,ant和指令行使用android SDK提供的aidl.exe生成.java檔案。
第三步 編譯.java類檔案生成class檔案:
Eclipse中自動生成,ant和指令行使用jdk的javac編譯java類檔案生成class檔案。
第四步 将class檔案打包生成classes.dex檔案:
Eclipse中自動生成,ant和指令行使用android SDK提供的dx.bat指令行腳本生成classes.dex檔案。
第五步 打包資源檔案(包括res、assets、androidmanifest.xml等):
Eclipse中自動生成,ant和指令行使用Android SDK提供的aapt.exe生成資源封包件。
第六步 生成未簽名的apk安裝檔案:
Eclipse中自動生成debug簽名檔案存放在bin目錄中,ant和指令行使用android SDK提供的apkbuilder.bat指令腳本生成未簽名的apk安裝檔案。
第七步 對未簽名的apk進行簽名生成簽名後的android檔案:
Eclipse中使用Android Tools進行簽名,ant和指令行使用jdk的jarsigner對未簽名的包進行apk簽名。
a) 調試簽名
eclipse插件預設賦予程式一個DEBUG權限的簽名,此簽名的程式不能釋出到market上,此簽名有效期為一年,如果過期則導緻你無法生成apk檔案,此時你隻要删除debug keystore即可,系統又會為你生成有效期為一年的新簽名
b) 開發者生成密鑰并簽名
右鍵點選項目名,在菜單中選擇Android Tools,然後選擇Export Signed Application Package,即可通過eclipse自定義證書并簽名
c) 開發者導出未簽名的包
右鍵點選項目名,在菜單中選擇Android Tools,然後選擇Export Signed Application Package…,即可導出未簽名的包,之後可通過指令行方式簽名
使用标準的java工具keytool和jarsigner來生成證書和給程式簽名。
a) 生成簽名
$ keytool -genkey -keystore keyfile -keyalg RSA -validity 10000 -alias yan
注:validity為天數,keyfile為生成key存放的檔案,yan為私鑰,RSA為指定的加密算法(可用RSA或DSA)
b) 為apk檔案簽名
$ jarsigner -verbose -keystore keyfile -signedjar signed.apk base.apk yan
注:keyfile為生成key存放的檔案,signed.apk為簽名後的apk,base.apk 為未簽名的apk,yan為私鑰
c) 看某個apk是否經過了簽名
$ jarsigner -verify my_application.apk
d) 優化(簽名後需要做對齊優化處理)
$ zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk
a) 使用源碼中的預設簽名
在源碼中編譯一般都使用預設簽名的,在某源碼目錄中用運作
$ mm showcommands能看到簽名指令
Android提供了簽名的程式signapk.jar,用法如下:
$ signapk publickey.x509[.pem] privatekey.pk8 input.jar output.jar
*.x509.pem為x509格式公鑰,pk8為私鑰
build/target/product/security目錄中有四組預設簽名可選:testkey platform shared media(具體見README.txt),應用程式中Android.mk中有一個LOCAL_CERTIFICATE字段,由它指定用哪個key簽名,未指定的預設用testkey.
b) 在源碼中自簽名
Android提供了一個腳本mkkey.sh(build/target/product/security/mkkey.sh),用于生成密鑰,生成後在應用程式中通過Android.mk中的LOCAL_CERTIFICATE字段指名用哪個簽名
c) mkkey.sh介紹
i. 生成公鑰
openssl genrsa -3 -out testkey.pem 2048
其中-3是算法的參數,2048是密鑰長度,testkey.pem是輸出的檔案
ii. 轉成x509格式(含作者有效期等)
openssl req -new -x509 -key testkey.pem -out testkey.x509.pem -days 10000 -subj ‘/C=US/ST=California/L=MountainView/O=Android/OU=Android/CN=Android/[email protected]’
iii. 生成私鑰
openssl pkcs8 -in testkey.pem -topk8 -outform DER -out testkey.pk8 -nocrypt
把的格式轉換成PKCS #8,這裡指定了-nocryp,表示不加密,是以簽名時不用輸入密碼
1) apk包中簽名相關的檔案在meta_INF目錄下
CERT.SF:生成每個檔案相對的密鑰
MANIFEST.MF:數字簽名資訊
xxx.SF:這是JAR檔案的簽名檔案,占位符xxx辨別了簽名者
xxx.DSA:對輸出檔案的簽名和公鑰
2) 相關源碼
development/tools/jarutils/src/com.anroid.jarutils/SignedJarBuilder.java
frameworks/base/services/java/com/android/server/PackageManagerService.java
frameworks/base/core/java/android/content/pm/PackageManager.java
frameworks/base/cmds/pm/src/com/android/commands/pm/Pm.java
dalvik/libcore/security/src/main/java/java/security/Sign*
build/target/product/security/platform.*
build/tools/signapk/*
一般在安裝時提示出錯:INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES
1) 兩個應用,名字相同,簽名不同
2) 更新時前一版本簽名,後一版本沒簽名
3) 更新時前一版本為DEBUG簽名,後一個為自定義簽名
4) 更新時前一版本為Android源碼中的簽
不同的機子上或不同的裝置上,利用eclipse編譯出的apk簽名是不一樣的。eclipse都有一個預設的簽名。檢視簽名路徑:
1)打開EclipseàWindowàAndoridàBuild,在這個Build界面,找到Default debug keysore這個編輯框,裡面的值則為本台裝置中Eclipse的keystore的預設路徑。
2)如果出現因簽名不同而導緻應用程式未安裝,可以将原先的keystore替換掉目前裝置上的keystore。并重新啟動Eclipse。否則隻能完全解除安裝掉移動裝置上的apk,重新安裝了。
1、通過簽名的方式生成你的APK,而不是直接從Bin目錄底下去拷貝,每個Android可執行程式的APK都有自己的簽名,隻要簽名一緻,就可以覆寫安裝,而不需要解除安裝;
2、資料庫表結構的變化(增加一個字段,減少一個字段,新表的建立)。正常更新資料庫的方法 public void onUpgrade(SQLiteDatabase db, int oldVersion, int newVersion)
3、sharepreferences的資料有改變,這個跟資料庫差不多,比如原來的sharepreferences儲存的一資料是boolean,在後一版本把儲存的資料改為string,問題就出現了。
1)打開cmd控制台,輸入指令:keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore,按照提示依次填寫内容,并記住密碼,後面會用到;
2)生成好keystore後,就可以導出簽名apk了。Eclipse中,右擊需要簽名的工程àandroid toolsàexport signed application package,location為生成的keystore所在的位置,密碼為建立keystore時設定的密碼,然後按照提示,next,最後finish,成功導出簽名apk。
1)debug簽名的應用程式不能在Android Market上架銷售,它會強制你使用自己的簽名;Debug模式下簽名用的證書(預設是Eclipse/ADT和Ant編譯)自從它建立之日起,1年後就會失效。
2)debug.keystore在不同的機器上所生成的可能都不一樣,就意味着如果你換了機器進行apk版本更新,那麼将會出現上面那種程式不能覆寫安裝的問題,相當于軟體不具備更新功能!
Android SDK中包含一個“zipalign”的工具,它能夠對打包的應用程式進行優化。在你的應用程式上運作zipalign,使得在運作時Android與應用程式間的互動更加有效率。是以,這種方式能夠讓應用程式和整個系統運作得更快。我們強烈推薦在新的和已經釋出的程式上使用zipalign工具來得到優化後的版本——即使你的程式是在老版本的Android平台下開發的。
在Android中,每個應用程式中儲存的資料檔案都會被多個程序通路;安裝程式會讀取應用程式的manifest檔案來處理與之相關的權限問題;Home應用程式會讀取資源檔案來擷取應用程式的名和圖示;系統服務會因為很多種原因讀取資源(例如,顯示應用程式的Notification);此外,就是應用程式自身用到資源檔案。
在Android中,當資源檔案通過記憶體映射對齊到4位元組邊界時,通路資源檔案的代碼才是有效率的。但是,如果資源本身沒有進行對齊處理(未使用zipalign工具),它就必須回到老路上,顯式地讀取它們——這個過程将會比較緩慢且會花費額外的記憶體。
對于應用程式開發者來說,這種顯式讀取方式是相當便利的。它允許使用一些不同的開發方法,包括正常流程中不包含對齊的資源,是以,這種讀取方式具有很大的便利性(本段的原始意思請參考原文)。
遺憾的是,對于使用者來說,這個情況恰恰是相反的——從未對齊的apk中讀取資源比較慢且花費較多記憶體。最好的情況是,Home程式和未對齊的程式啟動得比對齊後的慢(這也是唯一可見的效果)。最壞的情況是,安裝一些未對齊資源的應用程式會增加記憶體壓力,并是以造成系統反複地啟動和殺死程序。最終,使用者放棄使用如此慢又耗電的裝置。
1)使用ADT:
如果你使用導出向導的話,Eclipse中的ADT插件(從Ver.0.9.3開始)就能自動對齊Release程式包。
使用向導,右擊工程屬性,選擇Android ToolsàExport Signed Application Package。當然,你還可以通過AndroidManifest.xml編輯器的第一頁做到。
2)使用Ant:
Ant編譯腳本(從Android 1.6開始)可以對齊程式包。老平台的版本不能通過Ant編譯腳本進行對齊,必須手動對齊。
從Android 1.6開始,Debug模式下編譯時,Ant自動對齊和簽名程式包。
Release模式下,如果有足夠的資訊簽名程式包的話,Ant才會執行對齊操作,因為對齊處理發生在簽名之後。為了能夠簽名程式包,進而執行對齊操作,Ant必須知道keystore的位置以及build.properties中key的名字。相應的屬性名為key.store和key.alias。如果這些屬性為空,簽名工具會在編譯過程中提示輸入store/key的密碼,然後腳本會執行簽名及apk檔案的對齊。如果這些屬性都沒有,Release程式包不會進行簽名,自然也就不會進行對齊了。
3)手動:
為了能夠手動對齊程式包,Android 1.6及以後的SDK的tools/檔案夾下都有zipalign工具。你可以使用它來對齊任何版本下的程式包。你必須在簽名apk檔案後進行,使用以下指令:zipalign -v 4 source.apk destination.apk
4)驗證對齊:
zipalign -c -v 4 application.apk
![GitHub連夜封殺!這份阿裡 10W 字内部 Java 字面試手冊到底有多強?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)