一个简单的apk完整性校验方法,客户端打包校验
思路来自我的上级老大哥,因为从网上的搜索发现,很多apk校验是需要基于服务器来提供一个SHA1的校验的,因为apk生成后这个值基本是单一的,也就是仅仅属于这个apk,那么我这里采用的方法就是利用我们打包加密时的key拿到SHA1,然后进行对这个key的SHA1的一个程序校验即可。首先你需要拿到key的SHA1
拿到key的SHA1
话不多说,上步骤;
第一步、打开Android Studio的Terminal工具(不会有人连这个在哪都不知道吧,不会吧不会吧?)
第二步、输入命令:keytool -v -list -keystore 文件路径.jks,这里的文件路径就是指向你的key的一个文件路径
然后没有key的自己搜下打包的key是怎么生成的,这里就不赘述了
第三步、输入Keystore密码就行
那么这里就能拿到你想要的SHA1了,格式呢就类似于A1:B2:C3:D4这样
通过程序获取apk包里的一个SHA1
通过下面的方法就能在代码中获取到key进行签名的一个SHA1了
public static String sHA1(Context context) {
try {
PackageInfo info = context.getPackageManager().getPackageInfo(
context.getPackageName(), PackageManager.GET_SIGNATURES);
byte[] cert = info.signatures[0].toByteArray();
MessageDigest md = MessageDigest.getInstance("SHA1");
byte[] publicKey = md.digest(cert);
StringBuffer hexString = new StringBuffer();
for (int i = 0; i < publicKey.length; i++) {
String appendString = Integer.toHexString(0xFF & publicKey[i])
.toUpperCase(Locale.US);
if (appendString.length() == 1)
hexString.append("0");
hexString.append(appendString);
hexString.append(":");
}
String result = hexString.toString();
return result.substring(0, result.length()-1);
} catch (PackageManager.NameNotFoundException e) {
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return null;
}
最后进行校验
这里一个是校验,一个杀死进程,也就是你把你通过sHA1()方法拿到的SHA1和之前通过查询获取的SHA1进行比较即可,如果不对,那么就杀死进程。
/**
* 和key的签名文件对比
* @param s
*/
private void compare(String s){
if (!s.equals("你获取的SHA1")){
killAppProcess();
}
}
/**
* 杀死进程
*/
public void killAppProcess()
{
//注意:不能先杀掉主进程,否则逻辑代码无法继续执行,需先杀掉相关进程最后杀掉主进程
ActivityManager mActivityManager = (ActivityManager)LoadingActivity.this.getSystemService(Context.ACTIVITY_SERVICE);
List<ActivityManager.RunningAppProcessInfo> mList = mActivityManager.getRunningAppProcesses();
for (ActivityManager.RunningAppProcessInfo runningAppProcessInfo : mList)
{
if (runningAppProcessInfo.pid != android.os.Process.myPid())
{
android.os.Process.killProcess(runningAppProcessInfo.pid);
}
}
android.os.Process.killProcess(android.os.Process.myPid());
System.exit(0);
}
总结
这里的完整性校验,是对于打包时的一个key的验证,也就是一旦反编译后用另外一个key进行编译,那么这个SHA1值就永远不会对上,不过有守就会有攻,建议最好在进行一下安全加固,多一层保障多一层放心。