Android Studio gradle 技巧一 重要信息脱敏

最新推荐文章于 2023-11-13 16:25:11 发布
最新推荐文章于 2023-11-13 16:25:11 发布
阅读量867 收藏 1
点赞数
分类专栏: Android开发碎片 文章标签: android studio gradle 脱敏 BuildConfig
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy4_android/article/details/89926858
版权

文章目录

开个头

众所周知,android的签名文件(.jks 或者 .keystore)很重要。一般我们配置签名文件的写法是直接在app build.gradle文件里进行明文配置。不是很优雅。
还有我们对接第三方的时候,会申请一些appkey或者appSecret,一般也是会直接出现在代码里,不是很安全。

不优雅的配置签名信息
app build.gradle
android{
	...
	 signingConfigs {
        debug {
            storeFile file("xxx.jks") //签名文件路径
            storePassword "xxx"//仓库密码
            keyAlias "xxx"//别名
            keyPassword "xxx" //签名密码
        }
        release {
            storeFile file("xxx.jks") //签名文件路径
            storePassword "xxx"//仓库密码
            keyAlias "xxx" //别名
            keyPassword "xxx" //签名密码
        }
    }
	...
}

不优雅地设置第三方key
在某java文件中明文

    // APP_ID 替换为你的应用从官方网站申请到的合法appID
    private static final String APP_ID = "xxxxxx";

    // IWXAPI 是第三方app和微信通信的openApi接口
    private static IWXAPI api;

    //向微信注册 appId
    public static void registToWX() {
        // 通过WXAPIFactory工厂,获取IWXAPI的实例
        api = WXAPIFactory.createWXAPI(MyApp.getApplication(), APP_ID, false);
        // 将应用的appId注册到微信
        api.registerApp(APP_ID);
    }

或者在manifest.xml中明文

<!-- 高德地图START -->
<meta-data
    android:name="com.amap.api.v2.apikey"
    android:value="xxxxxxx" />
<!-- 高德地图END -->

解决方法

优雅地设置签名信息
1.创建keystore.properties

在项目根目录下,创建keystore.properties文件。文件里配置签名文件信息。
默认你已经在项目根目录下,创建了一个签名文件

# about keystore
storeFile=xxx.jks
storePassword=xxx
keyAlias=xxx
keyPassword=xxx
2.在build.gradle文件里引用.properties文件

在 app build.gradle文件里引用刚创建好的keystore.properties文件。

...
// Create a variable called keystorePropertiesFile, and initialize it to your
// keystore.properties file, in the rootProject folder.
def keystorePropertiesFile = rootProject.file("keystore.properties")

// Initialize a new Properties() object called keystoreProperties.
def keystoreProperties = new Properties()

// Load your keystore.properties file into the keystoreProperties object.
keystoreProperties.load(new FileInputStream(keystorePropertiesFile))
android{
	...
}
...
3.优雅地设置
...
android{
	...
	//开发中为了方便测试,debug的签名文件和release的签名文件,用的是一套。。。
	signingConfigs {
        release {
            storeFile file(keystoreProperties['storeFile'])
            storePassword keystoreProperties['storePassword']
            keyAlias keystoreProperties['keyAlias']
            keyPassword keystoreProperties['keyPassword']
        }
        debug {
            storeFile file(keystoreProperties['storeFile'])
            storePassword keystoreProperties['storePassword']
            keyAlias keystoreProperties['keyAlias']
            keyPassword keystoreProperties['keyPassword']
        }
    }
}
...

经过以上步骤,我们的签名文件已经脱敏。可以大胆的把项目上传到远程仓库(把签名文件 加入 .ignore)

优雅地设置第三方key

有了上面的基础,我们已经可以实现在build.gradle里面实现进行信息脱敏,所以,现在我们只要能实现在java文件和manifest文件中拿到build.gradle文件中的变量值,这样就可以实现将java文件和manifest文件中的第三方信息脱敏。

在Java文件和manifest文件中共享参数
BuildConfig

简单介绍下BuildConfig这个类,下面的代码块是BuildConfig默认的一些值。
1.这个类是编译时gradle帮我们自动生成的一个类(方便维护,或者说不需要我们维护)
2.这个类里面的值都是静态常量 (方便调用)
3.这个类会根据Build类型(debug/release)来给常量赋值 (这个功能比较厉害,下面单独说)

/**
 * Automatically generated file. DO NOT MODIFY
 */
package com.example.xxxx;

public final class BuildConfig {
  public static final boolean DEBUG = Boolean.parseBoolean("true");
  public static final String APPLICATION_ID = "com.example.xxx";
  public static final String BUILD_TYPE = "debug";
  public static final String FLAVOR = "";
  public static final int VERSION_CODE = 1;
  public static final String VERSION_NAME = "1.0";
}
1在keystore.properties里面定义参数

在这个文件中#表示注释。
在这个文件里面字符串不要用双引号""包裹。

# about keystore
storeFile=xxx.jks
storePassword=xxx
keyAlias=xxx
keyPassword=xxx
##################################################
# about custom value
#------------------高德地图apiKey------------------
aMapApiKey=xxxxxxxxxx
#------------------   微信分享   ------------------
weChatAppId=xxxxxxxx
2在build.gradle里拿到.properties里的值

app build.gradle

// Create a variable called keystorePropertiesFile, and initialize it to your
// keystore.properties file, in the rootProject folder.
def keystorePropertiesFile = rootProject.file("keystore.properties")

// Initialize a new Properties() object called keystoreProperties.
def keystoreProperties = new Properties()

// Load your keystore.properties file into the keystoreProperties object.
keystoreProperties.load(new FileInputStream(keystorePropertiesFile))
android{
	...
	 //获取 高德地图apiKey
     def aMapApiKey = keystoreProperties['aMapApiKey']
     //获取 微信分享appId
     def weChatAppId = keystoreProperties['weChatAppId']
     //给BuildConfig类里面添加自定义参数
     buildConfigField("String", "weChatAppId", "\"${weChatAppId}\"")
     //创建一个可以在manifest中使用的参数
     manifestPlaceholders = [
                aMapApiKey : "${aMapApiKey}",
     ]
     signingConfigs {
     ...
	 }
}

设置完了后,编译一下我们的项目然后进入BuildConfig类里看一下。gradle已经帮我们把值设置进去了。

/**
 * Automatically generated file. DO NOT MODIFY
 */
 //如果你的项目中依赖了多个library注意看这个包路径。找到app对应的BuildConfig。每个library都会生成自己的BuildConfig
package com.example.xxxx;

public final class BuildConfig {
  public static final boolean DEBUG = Boolean.parseBoolean("true");
  public static final String APPLICATION_ID = "com.example.xxx";
  public static final String BUILD_TYPE = "debug";
  public static final String FLAVOR = "";
  public static final int VERSION_CODE = 1;
  public static final String VERSION_NAME = "1.0";
  // Fields from default config.
  public static final String weChatAppId = "xxx";
}
3在.java代码中使用
 	// APP_ID 替换为你的应用从官方网站申请到的合法appID
 	//这里就直接用BuildConfig.weChatAppId 来获取我们设置在.properties文件中微信的AppId
    private static final String APP_ID = BuildConfig.weChatAppId;

    // IWXAPI 是第三方app和微信通信的openApi接口
    private static IWXAPI api;

    //向微信注册 appId
    public static void registToWX() {
        // 通过WXAPIFactory工厂,获取IWXAPI的实例
        api = WXAPIFactory.createWXAPI(MyApp.getApplication(), APP_ID, false);
        // 将应用的appId注册到微信
        api.registerApp(APP_ID);
    }
4在manifest中使用
 <!-- 高德地图 apiKey -->
        <meta-data
            android:name="com.amap.api.v2.apikey"
            android:value="${aMapApiKey}" />

我们看下manifest文件编译前后的对比。比较一目了然。
在这里插入图片描述

BuildConfig厉害的功能

我在开发中,测试和上线的时候,经常会改一些配置项。有时候打完包了正式包才发现一些配置忘了修改。我之前是在配置项之前加上TODO,每次打包之前都看下TODO,然后修改对象的配置项,比较的麻烦。如下图。
在这里插入图片描述
有了BuildConfig之后,就方便多辣

app build.gradle

...
android{
	...
	buildTypes {
        release {
            buildConfigField("boolean", "IS_DEBUG", "false")
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
        debug {
            buildConfigField("boolean", "IS_DEBUG", "true")
        }
    }
}
...

然后我们直接在代码中根据BuildConfig.IS_DEBUG的值来判断是debug版本还是release版本就好了。
比如,这个bugly,我们开发过程中生成的bug,真的不用上传上去给主管看到。。。

//TODO bugly 配置是否上传崩溃日志
//之前每次测试和发布产品的时候都要手动改这个boolean值,很麻烦。
CrashReport.initCrashReport(getApplicationContext(), appId, false);

//TODO bugly 配置是否上传崩溃日志
//以后测试和发布的时候,再也不用管辣
CrashReport.initCrashReport(getApplicationContext(), appId, !BuildConfig.IS_DEBUG);

下图可以看到debug 和 release 下BuildConfig里面的值得变化。
在这里插入图片描述
这个只是作为一个例子来理解BuildConfig的妙用,其实可以看到BuildConfig自带一个BUILD_TYPE来区分编译类型。不需要我们额外自定义参数。
在我们的开发中还会遇到多版本或者多渠道打包(就是多flavors的时候),这时候如果渠道区分版本或者渠道,这时候BuildConfig就派上大用场辣。这个也不是本篇的重点,先轻描淡写。想了解多渠道打包的可以google官方开发者文档介绍

参考资料

google官方开发者文档
还有默默无闻的大佬们

如有错误,欢迎指正!

Come丶On
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android App 中隐藏敏感信息
世事,为之则易,不为则难!
08-09 1467
说明           我们开发的Android应用,大部分代码使用Java实现,当应用被反编译之后,一切信息都是暴漏出来的,如果一些信息我们希望不被暴漏出来,如:加密算法的密钥、在各大开放平台申请得到的AppKey、AppSecret等,为了解决这个问题,我们可以使用*.so文件将这些信息隐藏起来,并在Java中使用JNI调用。     实现      首先需要下载NDK
Android加密存储之Security源码分析和基本用法介绍|Android敏感信息通过AES256加密存储
qq_38237224的博客
10-10 1053
篇章目标要点 国家法律法规越来越注重用户信息安全的问题,针对敏感个人信息也要求实行必要的加密存储手段,比如针对手机号/身份证/密码等敏感信息需要进行加密存储。Androidx提供了Security框架可以支持必要信息的加密和解密。 Security源码分析 Security的加密逻辑是在google开发的Tink框架中实现的,其关键的类和方法信息如下文所述。 其中StreamingAhead是一个接口类,其实现类包括AesCtrHmacStreaming和AesCtrHkdfStreaming分别对应的是两
使用log4j2实现日志数据脱敏
05-08
使用log4j2实现日志数据脱敏
Android个人信息脱敏操作
Pain的博客
12-07 2484
刚步入工作在项目中学到的,记录一下防止以后忘掉,毕竟好记性不如烂笔头。 // Android个人信息脱敏操作 String phone = 1111111111; String FORMAT_PHONE_NUMBER_REGEX = "(\\d{3})\\d{4}(\\d{4})"; String REPLACEMENT = "$1****$2";//$代表()$后边的数字代表第几个() private String formMatPhoneNumber(String number) {
项目中手机、姓名、身份证信息等在日志和响应数据中脱敏操作
liuqinhou的博客
08-17 467
数据脱敏
这个开源组件太强了,仅需三步完成 SpringBoot 日志脱敏
这个时代,作为程序员可能要学习小程序
07-29 304
点击上方关注 “终端研发部”设为“星标”,和你一起掌握更多数据库知识前言在我们书写代码的时候,会书写许多日志代码,但是有些敏感数据是需要进行安全脱敏处理的。对于日志脱敏的方式有很多,常见的有①使用conversionRule标签,继承MessageConverter②书写一个脱敏工具类,在打印日志的时候对特定特字段进行脱敏返回。两种方式各有优缺点:第一种方式需要修改代码,...
拿去用吧:android 数据脱敏工具类
qq_36162336的博客
04-07 952
package com.bobfintech.module_base.util; import android.text.TextUtils; /** * @author let * @description 数据脱敏工具类 * @date 2021/4/7 */ public final class SensitiveInfoUtils { /** * [中文姓名] 如果长度为2,后一位隐藏为星号<例子:李*>,如果长度>2,中间隐藏为星号<例子.
Android studio gradle5.4.1,gradle6.1.1,gradle4.4
10-06
Android studio gradle自己下载,解决studio下载过慢的问题,下载后里面有6.1.1,5.4.1,4.4三个版本的,看自己需要选择哪个。不需要解压,直接放到对应版本最后一个文件夹内
Android Studio Gradle 更换阿里云镜像的方法
09-07
主要介绍了Android Studio Gradle 更换阿里云镜像的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
androidstudio gradle-5.4.1-all.zip
08-14
androidstudio gradle文件下载,下载地址:https://downloads.gradle-dn.com/distributions/gradle-5.4.1-all.zip,其他版本直接改版本号,因为as自动下载太慢,所以建议手动下载解压覆盖
system_signature.keystore
08-14
android_platform_key生成的签名文件system_signature.keystore
Android Studio Gradle依赖冲突解决方法
08-26
总之,解决Android StudioGradle依赖冲突是一项关键任务,它涉及到项目的稳定性和可维护性。通过查看依赖树、排除冲突、显式声明依赖和强制依赖,开发者可以有效地管理和解决这些问题。记住,良好的依赖管理是项目...
Android安全之不安全日志输出
thatqier
02-23 916
漏洞描述:记录敏感信息并进行日志的输出保存 漏洞检测方式:对APK进行反编译后,查看是否有log.e语句出现
keystore.properties 配置
hpp_1225的博客
10-21 3555
秘钥丢失或泄漏: 1.无法发布已有应用的更新,签名文件不同导致无法覆盖安装 2,被人重新打包,添加私活,偷偷获取用户数据等 从编译文件中移除签名信息 android 保障密钥的安全 keystore.properties - Welcome My Blog! - OSCHINA - 中文开源技术交流社区 关于签名文件的知识总结 - zhangmiao14 - 博客园 在您创建签名配置时,Android Studio 会以纯文本形式将您的签名信息添加到模块的build.gradl...
Android Debug 调试签名 .keystore .jks 本地设置
wwwgaoxi的博客
04-27 3629
Android Debug 调试签名 .keystore .jks 本地设置Android程序有时会碰到,集成第三方SDK后 需要正式签名才能测试,比如 微信 高德 等, 如果总要打包签名测试 岂不是很麻烦,其实在本地设置好,直接运行就行了.signingConfigs { release { keyAlias 'xxx' key
Android Studio下载及安装和Gradle的配置(非常详细)从零基础入门到精通,看完这一篇就够了_
热门推荐
wangluoanquan111的博客
08-13 1万+
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
Android】配置Gradle打包apk的环境
最新发布
提笔忘字的帝国
11-13 3956
通过下面这张图可以看到已经生成秘钥文件了,如果你的目录结构跟我的不一样,注意看图中的左上角,我选择的是Project的结构,你的应该是Android目录结构。如果你没有看到生成的秘钥文件,需要你鼠标右键app目录,选择Reload from Disk刷新下即可。我们需要先在项目的根目录新建一个keystore.properties文件,这个文件是用来将秘钥信息给抽离出来的。上面这步是用来打包的,我们只需要生成秘钥文件,现在不需要打包,取消即可。在菜单栏中,依次点击。
Android 使用 Gradle 打包--签名配置
wuto_的博客
08-05 1857
Android studio会生成的dubug包使用默认的签名,release包需要我们自行配置。我们可以进行配置,实现自动签名。 1.打包输出路径及名称 gradle3.0.0之前: //修改生成的apk名字 android{ applicationVariants.all { variant -> if (variant.buildType.name.equals('release')) { variant.ou.
Android静态安全检测 -> logcat可能泄露隐私敏感信息
4lwin博客
07-21 5309
logcat可能泄露隐私敏感信息 - Log.v( ) & Log.d( ) 1. API 继承关系 java.lang.Object android.util.Log 主要方法 Log.v(String tag, String msg) 详细(Verbose)信息 级别最低,输出颜色为黑色
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值