这篇文章主要给大家介绍了关于 Android 中 APK 签名工具之 jarsigner 和 apksigner 的相关资料,文中介绍的非常详细,对各位 Android 开发者们具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
工具介绍
jarsigner 是JDK提供的针对jar包签名的通用工具,位于 JDK/bin/jarsigner.exe
apksigner 是Google 官方提供的针对 Android apk 签名及验证的专用工具,位于 Android SDK/build-tools/SDK 版本 /apksigner.bat
不管是 apk 包,还是 jar 包,本质都是 zip 格式的压缩包,所以它们的签名过程都差不多(仅限V1签名),以上两个工具都可以对 Android apk 包进行签名.
V1和V2签名的区别
在 Android Studio 中点击菜单 Build->Generate signed apk... 打包签名过程中,可以看到两种签名选项 V1( Jar Signature ) V2( Full APK Signature )
- V1签名:
- 来自 JDK ( jarsigner ),对 zip 压缩包的每个文件进行验证,签名后还能对压缩包修改(移动/重新压缩文件)
- 对V1签名的 apk/jar 解压,在 META-INF 存放签名文件( MANIFEST.MF, CERT.SF, CERT.RSA )
- 其中 MANIFEST.MF 文件保存所有文件的 SHA1 指纹(除了 META-INF 文件),由此可知:V1签名是对压缩包中单个文件签名验证
- V2签名:
- 来自 Google(apksigner),对 zip 压缩包的整个文件验证,签名后不能修改压缩包(包括 zipalign )
- 对V2签名的 apk 解压,没有发现签名文件,重新压缩后V2签名就失效, 由此可知: V2签名是对整个 APK 签名验证
- V2签名优点:
- 签名更安全(不能修改压缩包)
- 签名验证时间更短(不需要解压验证),因此安装速度更快
注意: apksigner 工具默认同时使用V1和V2签名,以兼容 Android7.0以下系统版本
zipalign 和V2签名
位于 Android SDK/build-tools/SDK 版本 /zipalign.exe
zipalign 是对 zip 包对齐的工具,使APK包内未压缩的数据有序排列对齐,从而减少 APP 运行时消耗
zipalign -v 4 in.apk out.apk //4字节对齐优化命令
zipalign -c -v 4 in.apk //检查 APK 是否对齐
zipalign 可以在V1签名后执行,但 zipalign 不能在V2签名之后执行,只能在V2签名之前执行!
签名步骤
1. 生成密钥对(已有密钥库,可忽略)
Eclipse或Android Studio在Debug时,对App签名都会使用一个默认的密钥库:
- 默认在C:\Users\用户名.android\debug.keystore
- 密钥库名: debug.keystore
- 密钥别名: androiddebugkey
- 密钥库密码: android
1. 生成密钥对
进入 JDK/bin,输入命令
keytool -genkeypair -keystore 密钥库名 -alias 密钥别名 -validity 天数 -keyalg RSA
参数:
-genkeypair 生成一条密钥对(由私钥和公钥组成)
-keystore 密钥库名字及存储位置(默认当前目录)
-alias 密钥对的别名(密钥库可以存在多个密钥对,用于区分不同密钥对)
-validity 密钥对的有效期(单位:天)
-keyalg 生成密钥对的算法(常用 RSA/DSA ,DSA 只用于签名,默认采用DSA )
提示:可重复使用此命令,在同一密钥库中创建多条密钥对
例如:
在 debug.keystore 中新增一对密钥,别名是release
keytool -genkeypair -keystore debug.keystore -alias release -validity 3000
2. 查看密钥库
进入 JDK/bin,输入命令
keytool -list -v -keystore 密钥库名
参数:
-list 查看密钥列表
-v 查看密钥详情
例如:
keytool -list -v -keystore debug.keystore
2. 签名
- 方法一( jarsigner ,只支持V1签名)
进入JDK/bin, 输入命令
jarsigner -keystore 密钥库名 xxx.apk 密钥别名
从JDK7开始, jarsigner默认算法是SHA256, 但Android 4.2以下不支持该算法,
所以需要修改算法, 添加参数 -digestalg SHA1 -sigalg SHA1withRSA
jarsigner -keystore 密钥库名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密钥别名
参数:
-digestalg 摘要算法
-sigalg 签名算法
例如:
用 JDK7 及以上 jarsigner 签名,不支持 Android4.2 以下
jarsigner -keystore debug.keystore app.apk androiddebugkey
用 JDK7 及以上 jarsigner 签名,兼容 Android4.2 以下
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA app.apk androiddebugkey
- 方法二( apksigner ,默认同时使用V1和V2签名)
进入Android SDK/build-tools/SDK版本, 输入命令
apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk
若密钥库中有多个密钥对,则必须指定密钥别名
apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk
禁用V2签名:
apksigner sign --v2-signing-enabled false --ks 密钥库名 xxx.apk
参数:
--ks-key-alias 密钥库别名,若密钥库只有一个密钥对,则可省略,反之必选
--v1-signing-enabled 是否开启V1签名,默认开启
--v2-signing-enabled 食肉开启V2签名,默认开启
例如:
在 debug.keystore 密钥库只有一个密钥对
apksigner sign --ks debug.keystore app.apk
在 debug.keystore 密钥库中有多个密钥对,所以必须指定密钥别名
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey app.apk
3. 签名验证
- 方法一( keytool ,只支持V1签名校验)
进入 JDK/bin , 输入命令
keytool -printcert -jarfile app.apk (显示签名信息)
参数:
-printcert 打印证书内容
-jarfile <filename> 已签名的 jar 文件或 apk 文件
- 方法二( apksigner ,支持V1和V2签名校验)
进入 Android SDK/build-tools/SDK 版本, 输入命令
apksigner verify -v --print-certs xxx.apk
参数:
-v,--verbose 显示详情(显示是否使用V1和V2签名)
--print-certs 显示签名证书信息
例如:
apksigner verify -v app.apk
