Android-APK簽名工具-jarsigner和apksigner

一.工具介紹

jarsigner是JDK提供的針對jar包簽名的通用工具,
位於JDK/bin/jarsigner.exe

apksigner是Google官方提供的針對Android apk簽名及驗證的專用工具,
位於Android SDK/build-tools/SDK版本/apksigner.bat

不管是apk包,還是jar包,本質都是zip格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),
以上兩個工具都可以對Android apk包進行簽名.

1.V1和V2簽名的區別

在Android Studio中點擊菜單 Build->Generate signed apk... 打包簽名過程中,
可以看到兩種簽名選項 V1(Jar Signature)  V2(Full APK Signature),
剛開始升級AS看到這個懵了,既然是APK Signature,就放心偷懶選了V2,結果安裝失敗???無奈,只能查資料...

從Android 7.0開始, 谷歌增加新簽名方案 V2 Scheme (APK Signature);
但Android 7.0以下版本, 只能用舊簽名方案 V1 scheme (JAR signing)

V1簽名:
    來自JDK(jarsigner), 對zip壓縮包的每個文件進行驗證, 簽名後還能對壓縮包修改(移動/重新壓縮文件)
    對V1簽名的apk/jar解壓,在META-INF存放簽名文件(MANIFEST.MF, CERT.SF, CERT.RSA), 
    其中MANIFEST.MF文件保存所有文件的SHA1指紋(除了META-INF文件), 由此可知: V1簽名是對壓縮包中單個文件簽名驗證

V2簽名:
    來自Google(apksigner), 對zip壓縮包的整個文件驗證, 簽名後不能修改壓縮包(包括zipalign),
    對V2簽名的apk解壓,沒有發現簽名文件,重新壓縮後V2簽名就失效, 由此可知: V2簽名是對整個APK簽名驗證

    V2簽名優點很明顯:
        簽名更安全(不能修改壓縮包)
        簽名驗證時間更短(不需要解壓驗證),因而安裝速度加快

注意: apksigner工具默認同時使用V1和V2簽名,以兼容Android 7.0以下版本

2.zipalign和V2簽名

位於Android SDK/build-tools/SDK版本/zipalign.exe
zipalign 是對zip包對齊的工具,使APK包內未壓縮的數據有序排列對齊,從而減少APP運行時內存消耗
zipalign -v 4 in.apk out.apk   //4字節對齊優化
zipalign -c -v 4 in.apk        //檢查APK是否對齊

zipalign可以在V1簽名後執行
但zipalign不能在V2簽名後執行,只能在V2簽名之前執行!!!

二.簽名步驟

1.生成密鑰對(已有密鑰庫,可忽略)

Eclipse或Android Studio在Debug時,對App簽名都會使用一個默認的密鑰庫:
    默認在C:\Users\用戶名\.android\debug.keystore
    密鑰庫名:   debug.keystore
    密鑰別名:   androiddebugkey
    密鑰庫密碼: android

1.生成密鑰對
    進入JDK/bin, 輸入命令 
    keytool -genkeypair -keystore 密鑰庫名 -alias 密鑰別名 -validity 天數 -keyalg RSA

    參數:
        -genkeypair  生成一條密鑰對(由私鑰和公鑰組成)
        -keystore    密鑰庫名字以及存儲位置(默認當前目錄)
        -alias       密鑰對的別名(密鑰庫可以存在多個密鑰對,用於區分不同密鑰對)
        -validity    密鑰對的有效期(單位: 天)
        -keyalg      生成密鑰對的算法(常用RSA/DSA,DSA只用於簽名,默認採用DSA)
        -delete      刪除一條密鑰

    提示: 可重複使用此條命令,在同一密鑰庫中創建多條密鑰對

    例如:     
        在debug.keystore中新增一對密鑰,別名是release
        keytool -genkeypair -keystore debug.keystore -alias release -validity 30000

2.查看密鑰庫
    進入JDK/bin, 輸入命令
    keytool -list -v -keystore 密鑰庫名

    參數:
        -list 查看密鑰列表
        -v    查看密鑰詳情

    例如:
        keytool -list -v -keystore debug.keystore
        現在debug.keystore密鑰庫中有兩對密鑰, 別名分別是androiddebugkey release

2.簽名

1.方法一(jarsigner,只支持V1簽名)
    進入JDK/bin, 輸入命令
    jarsigner -keystore 密鑰庫名 xxx.apk 密鑰別名

    從JDK7開始, jarsigner默認算法是SHA256, 但Android 4.2以下不支持該算法,
    所以需要修改算法, 添加參數 -digestalg SHA1 -sigalg SHA1withRSA
    jarsigner -keystore 密鑰庫名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密鑰別名

    參數:
        -digestalg  摘要算法
        -sigalg     簽名算法

    例如:
        用JDK7及以上jarsigner簽名,不支持Android 4.2 以下
        jarsigner -keystore debug.keystore MyApp.apk androiddebugkey

        用JDK7及以上jarsigner簽名,兼容Android 4.2 以下            
        jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey

2.方法二(apksigner,默認同時使用V1和V2簽名)
    進入Android SDK/build-tools/SDK版本, 輸入命令
    apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk

    若密鑰庫中有多個密鑰對,則必須指定密鑰別名
    apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk

    禁用V2簽名
    apksigner sign --v2-signing-enabled false --ks 密鑰庫名 xxx.apk

    參數:
        --ks-key-alias       密鑰別名,若密鑰庫有一個密鑰對,則可省略,反之必選
        --v1-signing-enabled 是否開啓V1簽名,默認開啓
        --v2-signing-enabled 是否開啓V2簽名,默認開啓

    例如:
        在debug.keystore密鑰庫只有一個密鑰對
        apksigner sign --ks debug.keystore MyApp.apk

        在debug.keystore密鑰庫中有多個密鑰對,所以必須指定密鑰別名
        apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk

3.簽名驗證

1.方法一(keytool,只支持V1簽名校驗)
    進入JDK/bin, 輸入命令
    keytool -printcert -jarfile MyApp.apk (顯示簽名證書信息)

    參數:
        -printcert           打印證書內容
        -jarfile <filename>  已簽名的jar文件 或apk文件   

2.方法二(apksigner,支持V1和V2簽名校驗)
    進入Android SDK/build-tools/SDK版本, 輸入命令
    apksigner verify -v --print-certs xxx.apk

    參數:
        -v, --verbose 顯示詳情(顯示是否使用V1和V2簽名)
        --print-certs 顯示簽名證書信息

    例如:
        apksigner verify -v MyApp.apk

        Verifies
        Verified using v1 scheme (JAR signing): true
        Verified using v2 scheme (APK Signature Scheme v2): true
        Number of signers: 1
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章