轉(zhuǎn)自 https://www.cnblogs.com/slysky/p/9780015.html

一.工具介紹

jarsigner是JDK提供的針對(duì)jar包簽名的通用工具,

位于JDK/bin/jarsigner.exe

apksigner是Google官方提供的針對(duì)Android apk簽名及驗(yàn)證的專用工具,

位于Android SDK/build-tools/SDK版本/apksigner.bat

不管是apk包,還是jar包,本質(zhì)都是zip格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),

以上兩個(gè)工具都可以對(duì)Android apk包進(jìn)行簽名.

1.V1和V2簽名的區(qū)別

在Android Studio中點(diǎn)擊菜單 Build->Generate signed apk... 打包簽名有兩種簽名選項(xiàng) V1(Jar Signature) V2(Full APK Signature),

從Android 7.0開始, 谷歌增加新簽名方案 V2 Scheme (APK Signature);

但Android 7.0以下版本, 只能用舊簽名方案 V1 scheme (JAR signing)

V1簽名:

• 來(lái)自JDK(jarsigner), 對(duì)zip壓縮包的每個(gè)文件進(jìn)行驗(yàn)證, 簽名后還能對(duì)壓縮包修改(移動(dòng)/重新壓縮文件)
• 對(duì)V1簽名的apk/jar解壓,在META-INF存放簽名文件(MANIFEST.MF, CERT.SF, CERT.RSA),
• 其中MANIFEST.MF文件保存所有文件的SHA1指紋(除了META-INF文件), 由此可知: V1簽名是對(duì)壓縮包中單個(gè)文件簽名驗(yàn)證

V2簽名:

• 來(lái)自Google(apksigner), 對(duì)zip壓縮包的整個(gè)文件驗(yàn)證, 簽名后不能修改壓縮包(包括zipalign),
• 對(duì)V2簽名的apk解壓,沒有發(fā)現(xiàn)簽名文件,重新壓縮后V2簽名就失效, 由此可知: V2簽名是對(duì)整個(gè)APK簽名驗(yàn)證

V2簽名優(yōu)點(diǎn)很明顯:

• 簽名更安全(不能修改壓縮包)
• 簽名驗(yàn)證時(shí)間更短(不需要解壓驗(yàn)證),因而安裝速度加快

注意: apksigner工具默認(rèn)同時(shí)使用V1和V2簽名,以兼容Android 7.0以下版本

2.zipalign和V2簽名

位于Android SDK/build-tools/SDK版本/zipalign.exe

zipalign 是對(duì)zip包對(duì)齊的工具,使APK包內(nèi)未壓縮的數(shù)據(jù)有序排列對(duì)齊,從而減少APP運(yùn)行時(shí)內(nèi)存消耗

zipalign -v 4 in.apk out.apk //4字節(jié)對(duì)齊優(yōu)化

zipalign -c -v 4 in.apk //檢查APK是否對(duì)齊

zipalign可以在V1簽名后執(zhí)行

但zipalign不能在V2簽名后執(zhí)行,只能在V2簽名之前執(zhí)行Ｌ勾！！

二.簽名步驟

1.生成密鑰對(duì)(已有密鑰庫(kù),可忽略)

Android Studio在Debug時(shí),對(duì)App簽名都會(huì)使用一個(gè)默認(rèn)的密鑰庫(kù):

• 默認(rèn)在C:\Users\用戶名.android\debug.keystore
• 密鑰庫(kù)名: debug.keystore
• 密鑰別名: androiddebugkey
• 密鑰庫(kù)密碼: android

1.生成密鑰對(duì)

進(jìn)入JDK/bin, 輸入命令

keytool -genkeypair -keystore 密鑰庫(kù)名 -alias 密鑰別名 -validity 天數(shù) -keyalg RSA

參數(shù):

-genkeypair 生成一條密鑰對(duì)(由私鑰和公鑰組成)
-keystore 密鑰庫(kù)名字以及存儲(chǔ)位置(默認(rèn)當(dāng)前目錄)
-alias 密鑰對(duì)的別名(密鑰庫(kù)可以存在多個(gè)密鑰對(duì),用于區(qū)分不同密鑰對(duì))
-validity 密鑰對(duì)的有效期(單位: 天)
-keyalg 生成密鑰對(duì)的算法(常用RSA/DSA,DSA只用于簽名,默認(rèn)采用DSA)
-delete 刪除一條密鑰

提示: 可重復(fù)使用此條命令,在同一密鑰庫(kù)中創(chuàng)建多條密鑰對(duì)
例如: 在debug.keystore中新增一對(duì)密鑰,別名是release

keytool -genkeypair -keystore debug.keystore -alias release -validity 30000

2.查看密鑰庫(kù)

進(jìn)入JDK/bin, 輸入命令

keytool -list -v -keystore 密鑰庫(kù)名

參數(shù):

-list 查看密鑰列表
-v 查看密鑰詳情

例如:
keytool -list -v -keystore debug.keystore

現(xiàn)在debug.keystore密鑰庫(kù)中有兩對(duì)密鑰, 別名分別是androiddebugkey release

2.簽名

1.方法一(jarsigner,只支持V1簽名)

進(jìn)入JDK/bin, 輸入命令

jarsigner -keystore 密鑰庫(kù)名 xxx.apk 密鑰別名

從JDK7開始, jarsigner默認(rèn)算法是SHA256, 但Android 4.2以下不支持該算法,

所以需要修改算法, 添加參數(shù) -digestalg SHA1 -sigalg SHA1withRSA

jarsigner -keystore 密鑰庫(kù)名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密鑰別名

參數(shù):

-digestalg 摘要算法
-sigalg 簽名算法

例如:

用JDK7及以上jarsigner簽名,不支持Android 4.2 以下

jarsigner -keystore debug.keystore MyApp.apk androiddebugkey

用JDK7及以上jarsigner簽名,兼容Android 4.2 以下

jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey

2.方法二(apksigner,默認(rèn)同時(shí)使用V1和V2簽名)

進(jìn)入Android SDK/build-tools/SDK版本, 輸入命令

apksigner sign --ks 密鑰庫(kù)名 --ks-key-alias 密鑰別名 xxx.apk

若密鑰庫(kù)中有多個(gè)密鑰對(duì),則必須指定密鑰別名

apksigner sign --ks 密鑰庫(kù)名 --ks-key-alias 密鑰別名 xxx.apk

禁用V2簽名

apksigner sign --v2-signing-enabled false --ks 密鑰庫(kù)名 xxx.apk

參數(shù):

--ks-key-alias 密鑰別名,若密鑰庫(kù)有一個(gè)密鑰對(duì),則可省略,反之必選
--v1-signing-enabled 是否開啟V1簽名,默認(rèn)開啟
--v2-signing-enabled 是否開啟V2簽名,默認(rèn)開啟

例如:

在debug.keystore密鑰庫(kù)只有一個(gè)密鑰對(duì)

apksigner sign --ks debug.keystore MyApp.apk

在debug.keystore密鑰庫(kù)中有多個(gè)密鑰對(duì),所以必須指定密鑰別名

apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk

3.簽名驗(yàn)證

1.方法一(keytool,只支持V1簽名校驗(yàn))

進(jìn)入JDK/bin, 輸入命令

keytool -printcert -jarfile MyApp.apk (顯示簽名證書信息)

參數(shù):

-printcert 打印證書內(nèi)容
-jarfile <filename> 已簽名的jar文件 或apk文件

2.方法二(apksigner,支持V1和V2簽名校驗(yàn))

進(jìn)入Android SDK/build-tools/SDK版本, 輸入命令

apksigner verify -v --print-certs xxx.apk

參數(shù):

-v, --verbose 顯示詳情(顯示是否使用V1和V2簽名)
--print-certs 顯示簽名證書信息

例如:

apksigner verify -v MyApp.apk

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Number of signers: 1