Android不允许没有签名的apk安装到手机上,应用的签名类似于应用的身份证
签名更大的作用是为了保护版权,如果应用的包名相同而签名不一致,则无法覆盖安装,必须先卸载再安装
创建一个签名
其中
密钥发布组织单元和密钥发布组织不一定要填写,其他的要填写
为了拯救纠结症患者,在这里附上签名的示例
在 Gradle 中配置签名
android {
signingConfigs {
release {
keyAlias '密钥别称'
keyPassword '密钥密码'
storeFile file('E:/MySign.jks')
storePassword '密钥库密码'
}
debug {
keyAlias '密钥别称'
keyPassword '密钥密码'
storeFile file('E:/MySign.jks')
storePassword '密钥库密码'
}
}
buildTypes {
release {
// 正式环境签名
signingConfig signingConfigs.release
}
debug {
// 开发环境签名
signingConfig signingConfigs.debug
}
}
}
这里重点说一下 debug 签名,如果没有指定签名则默认使用系统自动生成的 debug 签名,每台电脑生成的签名文件不会相同,因为我测试过用其他同事的手机覆盖安装应用,却提示要先卸载后才能安装
获取签名的 MD5、SHA1、SHA256 值
打开 cmd 命令行,输入以下指令:
keytool -list -v -keystore 签名文件地址
输入密码,在命令行窗口是看不到输入的密码,所以只管输入之后回车即可
Android Debug的签名文件在以下的路径,密钥库密码为:android
C:\Users\电脑当前用户名\.android\debug.keystore
验证apk签名
在 cmd 命令行中输入
jarsigner -verify -verbose -certs apk文件地址
正确的签名,证书到期日期为约定有效期后的日期
X.509, CN=HJQ, L=guangdong, ST=shantou, C=CN
[证书的有效期为17-3-30 下午4:43至67-3-18 下午4:43]
[CertPath 未验证: Path does not chain with any of the trust anchors]
s = 已验证签名
m = 在清单中列出条目
k = 在密钥库中至少找到了一个证书
i = 在身份作用域内至少找到了一个证书
jar 已验证。
警告:
此 jar 包含证书链未验证的条目。
此 jar 包含的签名没有时间戳。如果没有时间戳, 则在签名者证书的到期日期 (2067-03-1
8) 或以后的任何撤销日期之后, 用户可能无法验证此 jar。
debug签名信息,有效期大约为30年
X.509, C=US, O=Android, CN=Android Debug
[证书的有效期为16-11-22 下午6:15至46-11-15 下午6:15]
[CertPath 未验证: Path does not chain with any of the trust anchors]
s = 已验证签名
m = 在清单中列出条目
k = 在密钥库中至少找到了一个证书
i = 在身份作用域内至少找到了一个证书
jar 已验证。
警告:
此 jar 包含证书链未验证的条目。
此 jar 包含的签名没有时间戳。如果没有时间戳, 则在签名者证书的到期日期 (2046-11-1
5) 或以后的任何撤销日期之后, 用户可能无法验证此 jar。
签名不完整,未签名或签名错误
s = 已验证签名
m = 在清单中列出条目
k = 在密钥库中至少找到了一个证书
i = 在身份作用域内至少找到了一个证书
jar 未签名。(缺少签名或无法解析签名)
手动签名
可以用 360 提供的签名工具进行签名,可以到 360 官网进行下载
