哈嘍朋友們，今天來跟你講講關(guān)于 iOS 簽名相關(guān)的東西聚霜，這個在面試中可是會被問到狡恬，其實了解了 iOS 的簽名機制，你就能理解平時開發(fā)時碰到的很多東西蝎宇，比如 Provisioning Profile弟劲，比如 Apple 是如何控制安裝到 iOS 上的 App 的。

iPhone 上所有的 App 都需要經(jīng)過簽名姥芥，當(dāng)然不是簽程序員的名兔乞，也不是簽公司的名，簽的是 Apple 官方的名，簽了這名庸追，就代表這個 App 是 Apple 官方認(rèn)可的霍骄，沒有病毒的，用戶可以放心地安裝和運行這個 App淡溯。

那你可能會說读整，我不在乎這個 App 有沒有病毒，或者是不是盜版咱娶，我就想運行個沒簽名的 App 米间，不行嗎？
—— 還真不行膘侮，Apple 說：那您還是用 Android 吧
這就是為什么 iPhone 和 iPad 只能安裝 App Store 上的應(yīng)用屈糊，普通用戶哭爺爺告奶奶你也安裝不了盜版的 App。

是怎么簽的呢喻喳？

非對稱加密+摘要算法另玖。
假設(shè)我現(xiàn)在有一份數(shù)據(jù) A 需要進(jìn)行簽名，首先我要對 A 使用「摘要算法」表伦，得到一份「摘要」。

摘要慷丽，一種生活中的例子是藏頭詩蹦哼，比如對柳宗元《江雪》提取出它每句的第一個字（摘要算法），就得到「千萬孤獨」要糊，這個就是這首詩的「摘要」纲熏。MD5 就是一種摘要算法。

為什么要提取「摘要」锄俄？—— 因為非對稱加密的成本高局劲，如果直接對《江雪》加密劃不來。對摘要進(jìn)行非對稱加密就很便宜奶赠。

然后我用私鑰對這份摘要進(jìn)行「非對稱加密」鱼填，就得到了「數(shù)字簽名」。最后我把數(shù)據(jù) A+數(shù)字簽名打包毅戈，發(fā)送出去苹丸。（同時，把公鑰公開）

你收到了我的數(shù)據(jù)A+簽名苇经，你怎么知道沒有被其他人修改過呢赘理？

你用公鑰對「數(shù)字簽名」進(jìn)行非對稱解密，得到了一份「摘要」 B1扇单，然后又對數(shù)據(jù)使用相同的「摘要算法」商模，得到一份摘要B2，如果 B1=B2，那就說明數(shù)據(jù)沒有被人改過施流。

如果有人破壞了我發(fā)送出去的「數(shù)據(jù)」或者「數(shù)字簽名」凉倚，那最后得到的 B1 肯定不等于 B2，這就保證了數(shù)據(jù)的安全嫂沉。

image_Smn3iDjE98.png

Apple 是這樣簽的嗎稽寒？

image__4Zh8E14v5.png

是，但不完全是趟章。

上面說的這個只是解釋了從 App Store 上安裝的情況杏糙。開發(fā)領(lǐng)域還有三種可以安裝 App 到 iPhone 的方法：

1. 開發(fā)者安裝項目到手機上

2. 企業(yè)內(nèi)部的 iOS 應(yīng)用安裝（不上 App Store，比如我們公司iOS 版的 D-Chat）

3. 內(nèi)部測試 iOS 應(yīng)用安裝（也不上 App Store蚓土，但是需要先把設(shè)備信息注冊上去）

上面說的簡單方法不能滿足 Apple 宏侍、企業(yè)和開發(fā)者的需求。iOS 簽名機制復(fù)雜的部分來了：

開發(fā)者如何在本地編譯項目蜀漆，把 App 安裝到手機上谅河？

即便是開發(fā)階段，Apple 此時也要求對應(yīng)用的安裝擁有控制權(quán)确丢，但是又不可能要求開發(fā)者這個時候就把代碼上傳到 Apple 的服務(wù)器绷耍，開發(fā)者這會兒還沒開發(fā)完呢。

注意鲜侥，這里 Apple 只需要「安裝」的控制權(quán)褂始，而不需要管這個安裝包是不是被人篡改過（肯定是不斷被篡改的，因為還沒開發(fā)完呢）

那這時就需要用到「雙層簽名」+ Provisioning Profile描函，具體是：

1. 我在自己 Mac 電腦上生成了公鑰 L 和私鑰 L（L 表示Local 的崎苗、本地的）

2. 同時。Apple 官方有自己的公鑰 A 和私鑰 A（A 代表 Apple）

3. 我先把自己的公鑰 L 舀寓，上傳給 Apple 驗證胆数，驗證通過后 Apple 會用私鑰 A簽名，生成一份證書（公鑰 L + Apple 簽名）

4. 我在 Apple 的網(wǎng)站上申請 AppleID互墓，配置好設(shè)備 ID（在哪個設(shè)備上安裝必尼，就配置哪個設(shè)備的 ID），App 可以使用的權(quán)限（對轰豆，這個也是被 Apple 控制的）胰伍。Apple 就會把這些信息，以及第 3 步提到的證書打包酸休，用私鑰 A再簽個名骂租，就生成了Provisioning Profile，

5. 我把 Provisioning Profile 下載下來斑司，在開發(fā)時渗饮，用自己電腦上的的私鑰 L 對 App 進(jìn)行簽名但汞，同時把Provisioning Profile也打包進(jìn) App 中，文件名是embedded.mobileprovision互站，然后把 App安裝到手機上

6. 安裝時私蕾，iOS 系統(tǒng)用內(nèi)置的公鑰 A對 App 中的embedded.mobileprovision進(jìn)行驗證（證書也會驗一遍），通過后就會取出Provisioning Profile中的信息胡桃。

7. 好踩叭，這時候你的 iPhone 知道了：這次的安裝是經(jīng)過 Apple 官方許可的+一些配置信息

至此，順利安裝翠胰。

講完啦容贝，另外兩種安裝方式的過程差不多的，只是證書或者Provisioning Profile存在一點差異之景。

歡迎你轉(zhuǎn)發(fā)斤富、評論和點贊三連啊我的朋友！

參考文章

iOS App 簽名的原理