Android Gradle使用详解(四) 之 如何安全配置APK包的签名

最新推荐文章于 2023-11-13 16:25:11 发布
最新推荐文章于 2023-11-13 16:25:11 发布
阅读量852 收藏 1
点赞数
分类专栏: Android Gradle Android进阶与总结 文章标签: signingConfigs 签名 keystore androiddebugkey
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyz_zyx/article/details/83416519
版权

我们在《Android Gradle使用详解(三) 之 Android Gradle插件配置详解》中有简单介绍过signingConfigs{}配置及其使用到的字段意思。它是用于给 一个APP签名配置的。一个APP只有在签名之后才能发布、安装和使用,签名是保护APP的方式,它能标记APP的唯一性,防止恶意篡改。一般地我们在开发过程中使用的debug编译模式时,Android SDK已帮我们打上了一个默认的debug签名证书(该签名证书位于$HOME/.android/debug.keystore目录中),所以我们可以直接调试安装在手机上。但是在正式发布时构建的release模式版本时,我们就要对其进行配置签名证书了。

配置签名

关于配置签名可以在signingConfigs{}中进行,示例如:

android {
    ……    
    defaultConfig {
        ……
    }
    signingConfigs {
        releaseConfig {
            storeFile rootProject.file("buildkey/mykey.keystore")
            storePassword "password"
            keyAlias "MyKey"
            keyPassword "password"
        }
        debugConfig {	// debug可不配置
    	    storeFile rootProject.file("buildkey/debug.keystore")
    	    storePassword "android"
    	    keyAlias "androiddebugkey"
    	    keyPassword "android"
        }
    }
	buildTypes {
        ……
    }
}

字段介绍

storeFile                              指定签名证书文件,接收一个文件类型

storePassword                    配置签名证书文件的密码

keyAlias                               配置签名证书中密钥别名

keyPassword                       配置签名证书中该密钥的密码

应用签名

上述操作只是配置了签名证书,要使用它还需要在defaultConfig{}或buildTypes{}中进行signingConfig字段的指定,正如上面介绍defaultConfig{}或buildTypes{}中所提到的。示例:

android {
    ……
    defaultConfig {
        ……
        signingConfig signingConfigs.releaseConfig
    }
    signingConfigs {
        ……
    }
    buildTypes {
        ……
    }
}

或者针对构建类型分别配置,比如release和debug区分配置:

android {
    ……
    defaultConfig {
        ……
    }
    signingConfigs {
        ……
    }
    buildTypes {
        release {
            ……
            signingConfig signingConfigs.releaseConfig
        }
    }
}

值得注意一点就是,signingConfigs{}的配置一定要在buildTypes{}之前,否则会产生错误!

隐藏签名文件

上面示例中展示了签名证书的配置和使用,但是忽略了一个安全性问题。签名信息是我们应用非常重要的信息,是公司重要的资源,如果我们项目中都把APP的签名证书文件和相关密钥放在项目中托管在git上的话,那岂不是所有的开发者都能获得到签名证书文件和密钥,这种方式出于安全考虑确实有所欠佳。所以要解决这类问题,最好的办法是将证书文件和相关密钥放在服务器编译机上,然后配置相应的环境变量。如若各位开发者本地不存在环境变量就使用默认的debug签名证书,这样的话又虽能解决编译的问题又可提高安全性了。使用示例如:

android {
    ……
    defaultConfig {
        ……
    }
    signingConfigs {
        def appStoreFile = System.getenv("STORE_FILE");
        def appStorePassword = System.getenv("STORE_PASSWORD");
        def appKeyAlias = System.getenv("KEY_ALIAS");
        def appKeyPassword = System.getenv("KEY_PASSWORD");
        if (!appStoreFile || !appStorePassword || !appKeyAlias || !appKeyPassword) {
            appStoreFile = "buildkey/debug.keystore"   // 将$HOME/.android/debug.keystore的debug证书文件拷贝到工程目录中
            appStorePassword "android"
            appKeyAlias "androiddebugkey"
            appKeyPassword "android"
        }
        releaseConfig {
            storeFile rootProject.file(appStoreFile)
            storePassword appStorePassword
            keyAlias appKeyAlias
            keyPassword appKeyPassword
        }
    }
    buildTypes {
        release {
            ……
            signingConfig signingConfigs.releaseConfig
        }
    }
}

子云心
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jenkins打android应用时自动签名apk详解
08-25
Jenkins 打 Android 应用时自动签名 APK 详解 Jenkins 是一个流行的自动化构建工具,广泛应用于软件开发和测试中。在 Android 应用开发中,签名 APK 是一个重要的步骤,否则无法发布到应用商店中。 Jenkins 提供...
Gradle编译打Android apk详细介绍
09-01
Gradle编译打Android APK】是Android开发中不可或缺的一部分,它通过自动化构建流程,极大地提高了开发效率。本文将深入探讨Gradle构建过程以及Android Gradle插件的配置。 首先,理解Gradle构建过程至关重要。...
使用Android Studio进行签名使用gradle配置签名
柚子君的小窝
07-29 5567
一、Debug模式下的签名       运行或从IDE调试项目时,Android的Studio会自动由Android SDK工具生成的调试证书签名APK。您运行或调试Android Studio中的项目第一次,IDE会自动在调试密钥库和证书 $HOME/.android/debug.keystore,并设置密钥库和密钥的密码。         因为Debug模式下的证书由构建工具创建,这样是...
Android安全笔记-Android签名文件及初略架构
IT1995的博客
07-27 385
APK里META-INF文件夹中有里面有3个文件: CERT.RSA:含了公钥信息和发布机构信息; MANIFEST.MF:对apk中每一个文件进行hash摘要; CERT.SF:不仅仅有MANIFEST.MF中的内容,还有MANIFEST.MF这个文件的hash摘要。 Android框架简略图: 其中bionic为Linux内核! Android的文件系统: 系统应用: /system/app /system/priv-app /system/framewo..
gradle版本System.getEnv(“ RELEASE_PASSWORD”)返回null
chuyouyinghe的专栏
11-29 910
我最初在发布buildType中设置了signingConfig signingConfigs.release,并且一切正常,但是我需要针对不同产品口味的不同签名配置。如果我对密码进行硬编码,则它的工作原理与假定的一样。我不知道Windows怎么了,但这就是它的工作方式。现在尝试设置一个新的环境变量并加载它,并尝试按照上述步骤打印它。但是,当您重新启动PC并再次执行命令时,它将返回您环境变量的实际值。如果您设置了它,它将显示您的Java主目录路径,否则它将显示null。然后在Studio中打开终端窗口。
Android Studio 打配置设置V1签名
qq_32756581的博客
10-29 4640
Android Studio 打配置设置V1签名Android Studio 打配置设置V1签名 添加注意 一定要有debug的设置 如果是用下图这个打按钮 Android Studio 打配置设置V1签名 添加 v1SigningEnabled true //是否开启V1签名 v2SigningEnabled false //是否开启V2签名 在build.gradle 文件 的android { } 标签里面加一段 signingConfigs { debug { storeFil
Android Gradle 配置小窥
AAA啊哈
08-22 974
Android Gradle 配置小窥
Android build.gradle版本名打配置的方法
08-26
Android build.gradle版本名打配置方法详解 Android build.gradle版本名打配置Android应用开发中一个非常重要的步骤,它可以帮助开发者生成带版本号的 APK ,这样可以方便地管理和更新应用程序。下面将详细...
Android 7.0中新签名对多渠道打的影响详解
08-31
新机制增强了对APK签名的验证,特别是对资源文件的修改。当资源文件被修改后,签名工具会检测到这一变化,并拒绝使用同一签名进行签名。这意味着在Android 7.0及更高版本中,开发者不能再简单地通过替换资源文件来...
Android Studio 打没有勾选V1 V2签名的选项以及build.gradle设置v2SigningEnabled false无效
qq_45157882的博客
09-08 5910
AndroidStudio版本:android-studio-2021.1.1.22-windows。为什么我的AS中根本没有勾选V1和V2的选项,build gradle 配置后也没效果。Gradle版本:3.5.4。
android studio禁用v2签名,Android Studio打签名 Signature Versions V1、V2的选择问题
weixin_42665255的博客
05-27 2437
最近Android Studio 打的时候发现多了个签名版本V1和V2的选择:如下图: 开始默认勾选的v2(Full APK Signature),在测试机上(5.0)一直都安装失败,后来发现和签名选择V1和V2有关系。官方解释: V1:通过ZIP条目进行验证,这样APK 签署后可进行许多修改,可以移动甚至重新压缩文件。V2:验证压缩文件的所有字节,而不是单个 ZIP 条目,因此,在签名后无法再...
Android Gradle 插件】BuildType 编译类型配置 ③ ( javaCompileOptions 配置 | jniDebuggable 配置 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
05-02 1597
一、BuildType#javaCompileOptions 配置、 二、BuildType#jniDebuggable 配置
android 忘记密码代码,Android-忘记签名文件的密码怎么办
weixin_36378232的博客
05-26 545
今天工作需要,需要对老项目进行再次打,居然发现大家都忘记了打密码和别名,然后心态爆炸了一下午来处理这个事情,现在记录下我的解决方案。我的处理方法前提:.jks文件是项目还保留存在的,只是忘记了两个password和alias。Key password和Key alias:1、下载AndroidKeystoreBrute.jar,下载地址。2、新建一个文件夹(随便命名),我命名是find,把下载...
Android签名、密钥库、密钥全面解析
野生程序员
08-21 1万+
前言Android要求所有的应用必须进行数字签名才可以发布,也就是我们平时所说的使用证书打然后上传市场。这个签署的过程又括创建和存储证书,使用不同证书签署不同的构建配置,及自动签署过程。重要的角色:证书和密钥库 公钥证书又称为数字证书和身份证书含公钥/私钥对的公钥,以及可以标识密钥所有者的一些其他元素,例如名称和位置,证书持有者持有对应的私钥在签署工具签署我们的APP时,会自动将我们的公钥证
Android签名、证书、公钥密钥的概念及使用
热门推荐
stromxu 的专栏
09-02 3万+
资料来源于Android 官方文档的:https://developer.android.com/studio/publish/app-signing.html 还有些资料来源于网络。加以整理!公钥和私钥的概念在现代密码体制中加密和解密是采用不同的密钥(公开密钥),也就是公开密钥算法(也叫非对称算法、双钥算法)”,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需
Keystore密钥库
hellojoy的博客
07-17 1万+
近来由于项目需要做Single Sign On, 研究了一下CAS(具体配置等下篇再介绍), 而这个CAS的配置最关键的不是CAS本身,而是数字证书,如何配置多台服务器之间的信任链接。因此,有必要把keystore, keytool的东西翻出来晒晒。 几个概念 keystore 是一个密码保护的文件,用来存储密钥和证书(也就是说,keystore中存储的有两类型entries);这个文件(默
Android平台签名证书(.keystore)生成教程
qq_61950936的博客
10-07 3646
第二种方法:设置miniSdkVersion大于等于24,因为V2签名Android7及以上设备才支持,设置miniSdkVersion大于等于24表示不支持android7以下设备,从而不需要V1签名,设置miniSdkVersion详情参考:https://ask.dcloud.net.cn/article/193。第一种方法:重新生成证书,在生成证书命令中添加“-keyalg RSA”参数指定使用RSA算法。以上命令运行完成后就会生成证书,路径为“D:\test.keystore”。
AndroidStudio打处理
欧拉阿旺
06-21 1466
AndroidStudio非常强大,公司最近有一个需求是要实现对一个APP进行多个版本的打,而且可以同时安装在手机上。这个需求详细一点的描述是:公司有一个APP,有多个开发商要使用我们的APP,为了大家都有一个APP,而且图标不一样,app名字不一样,背景不一样等。我查询了一下资料发现,在AndroidStudio的gradle是可以配置的。在此特意写一篇文章记录分享。配置签名首先编写好签名文件,
Android配置Gradleapk的环境
最新发布
提笔忘字的帝国
11-13 4001
通过下面这张图可以看到已经生成秘钥文件了,如果你的目录结构跟我的不一样,注意看图中的左上角,我选择的是Project的结构,你的应该是Android目录结构。如果你没有看到生成的秘钥文件,需要你鼠标右键app目录,选择Reload from Disk刷新下即可。我们需要先在项目的根目录新建一个keystore.properties文件,这个文件是用来将秘钥信息给抽离出来的。上面这步是用来打的,我们只需要生成秘钥文件,现在不需要打,取消即可。在菜单栏中,依次点击。
Android Studio 插件配置使用详解
- Android Studio提供了签名的功能,可以选择“Build” -> “Generate Signed Bundle / APK”,按照向导完成签名和打过程。 Android Studio的配置使用涉及多个方面,从基础的SDK管理到高级的插件利用,再...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值