Android 应用程序签名(二)

最新推荐文章于 2024-10-13 11:39:37 发布
最新推荐文章于 2024-10-13 11:39:37 发布
阅读量838 收藏
点赞数
分类专栏: Android 文章标签: android eclipse ant 工具 脚本 application

link:  http://www.eoeandroid.com/thread-73206-1-1.html

Release模式下签名


       当你的程序准备好释放给其它用户时,你必须:
       1.   获取一个合适的密钥
       2.      在Release模式下编译程序
       3.      使用密钥签名程序
       4.      对齐APK包
       如果你是使用Eclipse/ADT插件开发,你可以使用导出向导来完成编译、签名和对齐等操作。在整个过程中,导出向导甚至还可以生成一个新的keystore和密钥。因此,如果你使用Eclipse,你可以直接跳到“使用Eclipse ADT编译和签名”。

        1. 获取一个合适的密钥
       为了进行程序的签名,首先,你必须有一个合适的密钥。密钥指:
        个人持有。
        代表个人、公司或组织实体的身份。
        拥有一个有效期。有效期推荐超过25年。

       如果你在Android Market上发布你的程序,需要注意一点的是:程序的有效期需要在2033.10.22之后。你不能上传一个应用程序,而它的key的有效期是在这个日期之前。
       不是由Android SDK工具生成的Debug key。
       如果你没有一个合适的key,你一定要使用Keytool来生成一个。如“基本设定”中描述的,确保Keytool可用。
        为了用Keytool生成一个key,使用keytool命令并传入一些可选参数,如下表所示。


下面是使用Keytool 命令生成密钥的例子:
$ keytool  - genkey  - - keystore  my - release - key . keystore 
- alias  alias_name  - keyalg RSA  - validity  10000
    运行上面的例子命令, Keytool 会提示你输入 keystore key 的密码,并且会提示你输入 key 中其它的字段。然后,它会生成一个叫做 my-release-key.keystore 的文件。 keystore key 受你输入的密码保护。 keystore 中包含一个 key ,有效期为 10000 天。别名将在后面用到,在程序签名时指当前这个 keystore
了解更多关于 Keytool 的信息, 2. Release模式下编译程序
为了给用户释放程序,你必须在 Release 模式下编译程序。在 Release 模式下,编译程序不会进行默认签名,并且你需要使用密钥进行签名。
   使用Eclipse
右击 Package Explorer 中的工程,选择 Android Tools>Export Unsigned Application Package ,导出一个未签名的 apk 。然后指定未签名 apk 的存储位置。(另外,你也可以在 Eclipse 中打开 AndroidManifest.xml 文件,打开 Manifest Tab ,然后点击 Export an unsigned APK )。
注意:你也可以使用导出向导来完成编译和签名步骤,参考“使用 Eclipse/ADT 编译和签名”。
  使用 Ant
如果你正在使用 Ant ,那么你可以在 ant 命令中加入 release 选项来开启 Release 模式。例如,如果你在包含 build.xml 文件的文件夹上运行 Ant ,命令可能看起来是这样:
ant release
一般,编译脚本在编译 apk 的时候不会进行签名。输出的文件位于工程的 bin/ 文件夹中,名为 <your_project_name>-unsigned.apk 。由于 apk 文件还没有签名,所以你必须手动的使用密钥进行签名,然后使用 zipalign 进行对齐。
    然而, Ant 编译脚本也可以替你执行签名和对齐操作,前提是你在 build.properties 文件中提供了 keystore 的名字和 key 的别名。如果提供了这些信息,编译脚本在执行 ant release 命令时会提示你输入 keystore key 的密码,对包进行签名并对齐。最后输出的文件位于工程的 bin/ 文件夹中,名为 <your_project_name>-release.apk 。如果按照上述自动签名和对齐操作执行,那么,你就可以跳过下面的手动步骤(步骤 3 4 )。了解如何在 build.properties 文件中指定 keystore alias ,请参考“其它 IDE 下开发: Release 模式编译”。


      3. 使用密钥签名程序
   如果你已经准备好要签名的程序包的话,你可以使用 Jarsigner 工具进行签名。如“基本设定”中描述的,请确保 Jarsigner 工具可用。此外,确保包含密钥的 keystore 可用。
为了签名应用程序,你需要运行 Jarsigner ,并引用应用程序的 apk 及包含密钥的 keystore 。下表列出了你可能使用的选项。

      下面是一个使用Jarsigner对my_application.apk进行签名的例子,使用了上面创建的keystore。
      $ jarsigner -verbose -keystore my-release-key.keystore 
       my_application.apk alias_name
       运行上面的示例命令,Jarsigner会提示你输入keystore和key的密码。然后它会修改apk文件,意味着apk文件现在已经签上名了。注意:你可以使用不同的key对apk多次签名。
       检验apk文件是否签名,可以使用下面的命令:
       $ jarsigner -verify my_signed.apk
       如果apk签名正确,Jarsigner输出“jar verified”。如果你想了解更多的细节,你可以尝试这些命令:
       $ jarsigner -verify -verbose my_application.apk
       或者
       $ jarsigner -verify -verbose -certs my_application.apk
       上面的命令,添加-certs选项,将会显示“CN=”行,描述谁创建了密钥。
       注意: 如果你看到“CN=Android Debug”,这意味apk文件使用Android SDK生成的Debug key签的名。如果你想发布你的程序,你必须使用自己的密钥替换Debug key进行签名。

       4. 对齐APK包
       一旦你对apk文件使用密钥进行签名后,一定要运行zipalign进行对齐。这个工具能做到让那些未压缩的数据以特定的字节对齐。以4字节对齐能优化性能。当对齐后,Android系统能通过mmap()阅读文件,即使它们包含二进制数据,而不是从包中拷贝所有的数据。好处是在运行程序时减少了随机读取内存的消耗。
zipalign由Android SDK提供,包含在tools/文件夹下。想对齐签名后的apk,执行:
       zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk
       -v标志表示开始日志输出(可选)。4表示对齐的字节(不要使用非4的数字)。第一个文件参数是你的签名后apk(输入),第二个文件参数是目的apk文件(输出)。如果你想覆盖已经存在的apk,添加-f标志。
       注意: 在你使用zipalign优化包之前,输入的apk必须是使用密钥签名后的。如果在zipalign操作之后再签名,那么对齐操作就白做了。
       了解更多信息,请阅读“zipalign”工具的文档。

        使用Eclipse/ADT编译和签名
       如果你在使用Eclipse/ADT插件,你可以使用导出向导导出一个签名的apk(甚至可以创建一个新的keystore,如果需要的话)。导出向导替你做了所有与Keytool和Jarsigner交互的工作,并且使用GUI来签名应用程序,替代了上面提到的手动编译、签名和对齐的操作。一旦向导完成了编译和签名,也还会使用zipalign执行包的对齐操作。由于导出向导要使用Keytoo和Jarsigner。你应该确保它们是可用的,如“签名的基本设定”中描述的那样。

        安全储存你的密钥
        维护密钥的安全是极其重要的。如果你让其他人使用了你的key,或者你把keystore和密码放在一个不安全的地方以至于第三方人员找到并使用了的话,那么,你的授权认证和用户的信任都将受到连累。
如果第三方没有经过你的允许拿走了你的key,那个人就可以签名并发布应用程序,并恶意替换或攻击你的正版程序。这个人还可以签名并发布应用程序,利用你的名义来攻击其它程序或者系统自身,或者破坏、偷取用户数据。
       开发者的名声依赖于正确的储存你的密钥,直到它过期。这里有几个安全储存密钥的提示:
       为key和keystore设置强密码。
       当你使用Keytool生成密钥的时候,不要再命令行中添加-storepass和-keypass选项。如果你这样做了,在shell记录中就可以获取你的密码。
       相似的,当使用Jarsigner来签名程序时,也不要在命令行中添加-storepass和-keypass选项。
       不要把密钥给别人或借给别人,不要让未授权的人知道你的keystore和key的密码。
总而言之,只要你在生成、使用和储存密钥时有安全意识的话,它还是很安全的。
小得
关注
专栏目录
升级AndroidStudio到2.3之后,签名apk文件报错mission translation
开朗的奥特曼的博客
03-30 810
Error:Execution failed for task ':app:lintVitalRelease'. > Lint found fatal errors while assembling a release target. To proceed, either fix the issues identified by lint, or modify your build scrip
微信支付获取应用签名工具Gen_Signature_Android2.apk
darknetr的博客
08-16 2566
获取安卓应用签名工具
uniapp开发app,在申请微信支付时,需要的Andriod应用签名是什么?iOS中得Universal Links又是什么?
前端颜小白
06-15 1875
下载地址:Gen_Signature_Android2.apkUniversal Links 是从浏览器或者网页上打开链接跳转到手机上的app Universal Links链接要求有ssl证书,也就是需要https开头的链接,且如果存在跨域问题则需要解决跨域问题。 XXXXXXXX:teamId,登入网站后可在这一项中找到com.xxxxx:ios的bundle ID(AppID)将apple-app-site-association文件交给后端开发人员,放置服务器,并给到你可访问的链接,这个就是 Uni
微信签名工具 Gen_Signature_Android221cbf.apk 下载
Drothy_qin的博客
11-20 3万+
百度键入”微信开放平台”或直接访问网址https://open.weixin.qq.com/按照下图找到签名工具即可 以上:签名工具申请完成 下面是给我小白自己看的: 已经在微信官网申请了账号了,想要在上面开发应用,必须首先对应用进行审核。在审核之前,需要填写应用的相关信息,包括名称、图标、用途说明、签名等。下面介绍如何获取程序的签名。选择程序,右键—>android tools —>签名发布
Android 签名的应用 ,此文涉及内容比较全面。
似锦
05-25 3097
先声明,本文不是自己原创,都是在做应用的时候涉及到的内容,但是把签名的所有内容都涉及到了。包括签名的知识点、怎么签名、安装前的签名对比是否相同。 1、签名的基础知识点: 发布过Android应用的朋友们应该都知道,Android APK的发布是需要签名的。签名机制在Android应用和框架中有着十分重要的作用。 例如,Android系统禁止更新安装签名不一致的APK;如果应用需要使用sy
Android 获取应用签名
热门推荐
赵航的博客
12-01 6万+
本文主要讲下在android中如何获取应用签名. 也方便平时用来区分一个应用是不是原包应用.
深入了解 Android 中的应用程序签名
特立独行的博客
12-22 2366
应用程序签名是将数字签名应用于 Android 应用程序(APK 文件)的过程。它使用密钥对对应用程序进行加密,确保在应用程序发布和分发过程中的完整性和真实性。
Android 应用程序签名
不世剑客专栏
07-22 3507
本文主要介绍Android应用程序签名的相关理论知识以及如何发布Android应用程序。   1.签名的概念 为大家所熟知的日常生活中的签名,它是代表某个人的特殊标记,用于唯一标识某个人。而Android 应用程序签名的本质与日常生活中的签名是一样的,应用程序中的签名也开发者在应用程序中打上的一种特殊标记,别人在看到这个标记时,他会知道是这个应用程序与你有关或者是你开发的,而不是别人。
android应用程序签名详解
梦痕的专栏
11-01 2926
一般开发android的开发者都知道,在我们的Android系统中,不许可安装两个相同的包的应用        假设A应用的包名:com.xwj.appA;    A应用已经在系统中存在了,这个时候再去安装一个应用B ,它的包名也叫com.xwj.appA,这时候系统就会去检查这两应用的签名是否相同。如果相同,B会把A给覆盖安装掉; 如果不相同 B安装失败;     当你把应用发布到市场
Android应用程序签名过程分析
Roland_Sun的专栏
12-09 4146
在正式解释Android应用程序签名过程之前,作为铺垫,还得先讲讲最基本的一些概念。 一、非对称加密算法 非对称加密算法需要两个密钥:公开密钥(简称公钥)和私有密钥(简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密;如果用私钥对数据进行加密,那么只有用对应的公钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。 非对称加密
Android应用程序签名步骤及相关知识介绍
01-04
本文主要讲解Android应用程序签名相关的理论知识,包括:什么是签名、为什么要给应用程序签名、如何给应用程序签名等。 1、什么是签名? 如果这个问题不是放在Android开发中来问,如果是放在一个普通的版块,我想...
Android应用程序开发
09-19
### Android应用程序开发知识点详解 #### 一、Android概述 Android是一种基于Linux内核的开源移动设备操作系统,由Google公司和开放手机联盟领导及开发。它主要用于触摸操作的手持设备上,如智能手机和平板电脑等...
Android 微信应用签名
09-07
Android平台上,应用签名是一个至关重要的安全机制,它确保了应用程序的完整性和开发者身份的验证。在本主题中,我们将深入探讨"Android微信应用签名"的相关知识点,这涉及到微信平台对于第三方应用接入的要求以及...
Android ImageView scaleType使用
zyy_give的博客
10-12 946
ImageView scaleType详解
【AAOS】Android Automotive 15模拟器源码下载及编译
最新发布
码农的历程
10-13 259
【代码】【AAOS】Android Automotive 15模拟器源码下载及编译。
安卓的漏洞类型和扫描工具
xxdw1992的博客
10-09 861
Android应用由多个组件组成,这些组件中的漏洞可能导致严重的安全问题。常见的组件漏洞包括:Activity组件漏洞:Activity是Android应用中的一个核心组件,用于显示用户界面。如果Activity组件存在漏洞,如崩溃或异常,那么其他应用可能会利用这些漏洞导致应用崩溃或进行功能调用。此外,Activity接口如果被其他应用调用,还可能用于执行特定的敏感操作或进行钓鱼欺骗。Service组件漏洞:Service是Android应用中的另一个重要组件,用于在后台执行长时间运行的操作。
MySQL 读写分离、主从复制案例
林知屿的博客
10-09 678
通过上述步骤,你实现了 MySQL 的读写分离。设置 MySQL 主从复制。在应用层配置多个数据源,分别指向主库和从库。使用 AOP 实现读写分离,通过自定义注解和切面控制数据源的选择。在服务层实现读写逻辑。
Android 编译使用哪个key签名
m0_63526467的博客
10-10 652
Android 编译使用哪个key签名
Android SELinux——基础介绍(一)
小旭的专栏
10-09 852
SELinux(Security-Enhanced Linux)是一种基于强制访问控制 MAC 的安全增强模块,最初由美国国家安全局(NSA)开发,用于提高 Linux 操作系统的安全性。它基于 FLASK(Flux Advanced Security Kernel)模型,这是一个由美国国防部门开发的安全内核模型。SELinux 通过 LSM 接口集成到 Linux 内核中,提供了比传统的自主访问控制 DAC 更强的安全性和灵活性。
深入探索Android应用程序开发
"Android应用程序开发.pdf" 本书《Android应用程序开发》由Rick Rogers、John Lombardo、Zigurd Mednieks和Blake Meike合作撰写,详细介绍了Android应用开发的各个方面。出版于2009年,由O'Reilly Media, Inc.发布...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值