這篇文章主要給大家介紹了關於 Android 中 APK 簽名工具之 jarsigner 和 apksigner 的相關資料,文中介紹的非常詳細,對各位 Android 開發者們具有一定的參考學習價值,需要的朋友們下面隨着小編來一起學習學習吧
工具介紹
jarsigner 是JDK提供的針對jar包簽名的通用工具,位於 JDK/bin/jarsigner.exe
apksigner 是Google 官方提供的針對 Android apk 簽名及驗證的專用工具,位於 Android SDK/build-tools/SDK 版本 /apksigner.bat
不管是 apk 包,還是 jar 包,本質都是 zip 格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),以上兩個工具都可以對 Android apk 包進行簽名.
V1和V2簽名的區別
在 Android Studio 中點擊菜單 Build->Generate signed apk... 打包簽名過程中,可以看到兩種簽名選項 V1( Jar Signature ) V2( Full APK Signature )
- V1簽名:
- 來自 JDK ( jarsigner ),對 zip 壓縮包的每個文件進行驗證,簽名後還能對壓縮包修改(移動/重新壓縮文件)
- 對V1簽名的 apk/jar 解壓,在 META-INF 存放簽名文件( MANIFEST.MF, CERT.SF, CERT.RSA )
- 其中 MANIFEST.MF 文件保存所有文件的 SHA1 指紋(除了 META-INF 文件),由此可知:V1簽名是對壓縮包中單個文件簽名驗證
- V2簽名:
- 來自 Google(apksigner),對 zip 壓縮包的整個文件驗證,簽名後不能修改壓縮包(包括 zipalign )
- 對V2簽名的 apk 解壓,沒有發現簽名文件,重新壓縮後V2簽名就失效, 由此可知: V2簽名是對整個 APK 簽名驗證
- V2簽名優點:
- 簽名更安全(不能修改壓縮包)
- 簽名驗證時間更短(不需要解壓驗證),因此安裝速度更快
注意: apksigner 工具默認同時使用V1和V2簽名,以兼容 Android7.0以下系統版本
zipalign 和V2簽名
位於 Android SDK/build-tools/SDK 版本 /zipalign.exe
zipalign 是對 zip 包對齊的工具,使APK包內未壓縮的數據有序排列對齊,從而減少 APP 運行時消耗
zipalign -v 4 in.apk out.apk //4字節對齊優化命令
zipalign -c -v 4 in.apk //檢查 APK 是否對齊
zipalign 可以在V1簽名後執行,但 zipalign 不能在V2簽名之後執行,只能在V2簽名之前執行!
簽名步驟
1. 生成密鑰對(已有密鑰庫,可忽略)
Eclipse或Android Studio在Debug時,對App簽名都會使用一個默認的密鑰庫:
- 默認在C:\Users\用戶名.android\debug.keystore
- 密鑰庫名: debug.keystore
- 密鑰別名: androiddebugkey
- 密鑰庫密碼: android
1. 生成密鑰對
進入 JDK/bin,輸入命令
keytool -genkeypair -keystore 密鑰庫名 -alias 密鑰別名 -validity 天數 -keyalg RSA
參數:
-genkeypair 生成一條密鑰對(由私鑰和公鑰組成)
-keystore 密鑰庫名字及存儲位置(默認當前目錄)
-alias 密鑰對的別名(密鑰庫可以存在多個密鑰對,用於區分不同密鑰對)
-validity 密鑰對的有效期(單位:天)
-keyalg 生成密鑰對的算法(常用 RSA/DSA ,DSA 只用於簽名,默認採用DSA )
提示:可重複使用此命令,在同一密鑰庫中創建多條密鑰對
例如:
在 debug.keystore 中新增一對密鑰,別名是release
keytool -genkeypair -keystore debug.keystore -alias release -validity 3000
2. 查看密鑰庫
進入 JDK/bin,輸入命令
keytool -list -v -keystore 密鑰庫名
參數:
-list 查看密鑰列表
-v 查看密鑰詳情
例如:
keytool -list -v -keystore debug.keystore
2. 簽名
- 方法一( jarsigner ,只支持V1簽名)
進入JDK/bin, 輸入命令
jarsigner -keystore 密鑰庫名 xxx.apk 密鑰別名
從JDK7開始, jarsigner默認算法是SHA256, 但Android 4.2以下不支持該算法,
所以需要修改算法, 添加參數 -digestalg SHA1 -sigalg SHA1withRSA
jarsigner -keystore 密鑰庫名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密鑰別名
參數:
-digestalg 摘要算法
-sigalg 簽名算法
例如:
用 JDK7 及以上 jarsigner 簽名,不支持 Android4.2 以下
jarsigner -keystore debug.keystore app.apk androiddebugkey
用 JDK7 及以上 jarsigner 簽名,兼容 Android4.2 以下
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA app.apk androiddebugkey
- 方法二( apksigner ,默認同時使用V1和V2簽名)
進入Android SDK/build-tools/SDK版本, 輸入命令
apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk
若密鑰庫中有多個密鑰對,則必須指定密鑰別名
apksigner sign --ks 密鑰庫名 --ks-key-alias 密鑰別名 xxx.apk
禁用V2簽名:
apksigner sign --v2-signing-enabled false --ks 密鑰庫名 xxx.apk
參數:
--ks-key-alias 密鑰庫別名,若密鑰庫只有一個密鑰對,則可省略,反之必選
--v1-signing-enabled 是否開啓V1簽名,默認開啓
--v2-signing-enabled 食肉開啓V2簽名,默認開啓
例如:
在 debug.keystore 密鑰庫只有一個密鑰對
apksigner sign --ks debug.keystore app.apk
在 debug.keystore 密鑰庫中有多個密鑰對,所以必須指定密鑰別名
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey app.apk
3. 簽名驗證
- 方法一( keytool ,只支持V1簽名校驗)
進入 JDK/bin , 輸入命令
keytool -printcert -jarfile app.apk (顯示簽名信息)
參數:
-printcert 打印證書內容
-jarfile <filename> 已簽名的 jar 文件或 apk 文件
- 方法二( apksigner ,支持V1和V2簽名校驗)
進入 Android SDK/build-tools/SDK 版本, 輸入命令
apksigner verify -v --print-certs xxx.apk
參數:
-v,--verbose 顯示詳情(顯示是否使用V1和V2簽名)
--print-certs 顯示簽名證書信息
例如:
apksigner verify -v app.apk