Android APK 签名系统权限

一、问题

         通过eclipse编译android源码中，如果编译Settings或者android manifest XML中 shared user id 包含android.uid.system等系统权限的时候，则会报以下错误：
Installation error: INSTALL_FAILED_UPDATE_INCOMPATIBLE
Installation error: INSTALL_FAILED_SHARED_USER_INCOMPATIBLE

二、原因

        由于Android的安全机制，有些库的使用条件比较苛刻，要求同一签名的程序才可以获得访问权。此时即便是在AndroidManifest.xml中添加了相应的permission，依旧会提示需要得到android.permission.XXX访问权限的问题。比如强制关闭程序权限android.permission.FORCE_STOP_PACKAGES。此时，首先加入 android:sharedUserId="android.uid.system"这个属性。通过Shared User id,拥有同一个User id的多个APK可以配置成运行在同一个进程中。那么把程序的UID配成android.uid.system，也就是要让程序运行在系统进程中，这样就有权限来强制关闭程序了。
        只是加入UID还不够，如果这时候安装APK的话发现无法安装，如下列提示1、2，提示签名不符，原因是程序想要运行在系统进程中还要有目标系统的platform. key，也就是platform.pk8和platform.x509.pem两个文件。

      1）  INSTALL_FAILED_UPDATE_INCOMPATIBLE
                 由于卸载没有完全，可以使用设置中卸载相应应用，或者adb uninstall com.android.***

       2）INSTALL_FAILED_SHARED_USER_INCOMPATIBLE
                 主要是由于使用了android.uid.system导致的问题。

三、解决方法

      方法一：需要在Android系统源码的环境下用make来编译：
        1. 在应用程序的AndroidManifest.xml中的manifest节点中加入android:sharedUserId="android.uid.system"这个属性。
        2. 修改Android.mk文件，加入LOCAL_CERTIFICATE := platform这一行
        3. 使用mm命令来编译，生成的apk就有强制关闭程序的权限了。

     方法二：到源码环境下用make来编译：

        1. 同上，加入android:sharedUserId="android.uid.system"这个属性。
        2. 使用eclipse编译出apk文件，但是这个apk文件是不能用的。
        3. 用压缩软件打开apk文件，删掉META-INF目录下的CERT.SF和CERT.RSA两个文件（测试不删除亦可通过）。
        4. 使用目标系统的platform密钥来重新给apk文件签名。这步比较麻烦，具体操作如下：
                 a) 新建一个目录：WorkArea，并将待签名应用Test.apk复制到该目录下                            
                 b) 找到密钥文件 platform.pk8和platform.x509.pem并复制到工作目录WorkArea下
                     * platform.pk8和platform.x509.pem两个文件在我的Android源码目录中的位置是"build\target\product\security"。
                 c) 找到签名打包工具Signapk.jar(在Android源码目录out/host/linux-x86/framework中)并复制到工作目录WorkArea下
                     * Signapk.jar的源代码在android系统源码"android_source/build/tools/signapk"下，在源码下用 mm 编译后生成Signapk.jar包，并存放在Android源码目录out/host/linux-x86/framework中。
                 d) 用Android提供的Signapk工具（Signapk.jar）来签名打包，操作如下：
                     打开终端，进入工作目录WorkArea，并执行命令java -jar signapk.jar platform.x509.pem platform.pk8 Test.apk Test-signed.apk                           

                     其中Test.apk 是我们要签名的原始文件apk，Test-signed.apk是我们签名后输出的apk文件名称，可自定义前缀名称。

    

        ##   方法一中加入LOCAL_CERTIFICATE := platform其实就是用platform.pk8和platform.x509.pem两个文件这两个key来签名。

        这里有一个问题，这样生成的程序只有在原始的Android系统或者是自己编译的系统中才可以用，因为这样的系统才可以拿到platform.pk8和platform.x509.pem两个文件。要是不同平台的Android系统上连安装都安装不了（比如MTK平台的签名APK放到非MTK 平台）。试试原始的Android中的key来签名，程序在模拟器上运行OK，不过放到华为上安装直接提示"Failure [INSTALL_FAILED_INVALID_INSTALL_LOCATION]"，这样也是保护了系统的安全。
        最后说下，这个android:sharedUserId属性不只可以把apk放到系统进程中，也可以配置多个APK运行在一个进程中，这样可以共享数据。