前言

最近在刚做完一个教育类的项目,然后要上架到应用宝,不过要加固。但是最近的某度搜索引擎的确是不好用,找了半天才找到教程。为了以后不麻烦搜索引擎,特此记录。

第一步,写代码

当然是写好你自己的代码辣,还有喔,要保护好自己的发际线。

第二步,打包

首先,生成密钥

都0202年了,还不用Android studio的同事们,你们真的老辣,嘿嘿。
Android应用打包,各位都会吧。不会的话我简单唠两句。

  1. 首先当然是生成密钥啦。可以直接用Android studio自带的工具生成,不过要填的东西可不少:

点击最上方的导航栏Build,然后点击Generate SignedBundle / APK ...
接下来使用默认选中的APK,点击Next
会有一个选项 Key store path, 如果你有生成过打包密钥,可以直接选择Choose existing就行,没有的话点击Create new ...,内容的话,如果是工作室或者公司还是正经点填吧,不是的话,你开心就好。

填空的名称 对应的意思 是否必填
key Store path 密钥库位置(要保存在哪里)
Password 密钥库的密码
Confirm 重复上面的密码
Alias 密钥别名(一个密钥可以有多个别名)
Password 密钥密码
Validity(years) 密钥有效期(默认25年) -
First and LastName 你的名称(英文)
Organizational Unit 机构代码
Organization 组织机构(英文/拼音)
City or Locality 城市拼音
State or Province 地区
Country Code (xx) 国家编号,国内一般填86

填完就直接下一步。
为了安全起见还是v1v2都勾上,打包也是4k对齐的,而且也缓解一下我作为处女座的强迫症。然后选择Finish,就开始打包了。打包生成的APK文件会在选择v1v2的上面,有个APK Destination Folder,这个路径里面。

当然,也有早就创建好签名的,或者想要自动打包的,直接在app目录下的build.gradle中修改

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
...

android {
...
    signingConfigs {
        release {
            keyAlias ''           //别名
            keyPassword ''        //别名密码
            storeFile file('')    //.jks/密钥库 的路径
            storePassword ''      //密钥库的密码
        }
        debug {
            keyAlias ''           //别名
            keyPassword ''        //别名密码
            storeFile file('')    //.jks/密钥库 的路径
            storePassword ''      //密钥库的密码
        }
    }
...
}

...

这样填完就可以直接用gradleassembleRelease直接打包了。

  1. 第二种方式就比较牛批了,直接手撸的。

首先,你要知道Android中APK签名工具jarsignerapksigner

  • 工具介绍

jarsigner是JDK提供的针对jar包签名的通用工具,位于JDK/bin/jarsigner.exe

apksigner是Google官方提供的针对Android APK签名及验证的专用工具,位于Android SDK/build-tools/SDK版本/apksigner.bat

不管是apk包,还是jar包,本质都是zip格式的压缩包,所以它们的签名过程都差不多(仅限V1签名),以上两个工具都可以对Android APK包进行签名.

  • v1v2的区别

    在 Android Studio 中点击菜单 Build->Generate signed apk… 打包签名过程中,可以看到两种签名选项 V1( Jar Signature ) V2( Full APK Signature )

    • V1签名:

      • 来自 JDK ( jarsigner ),对 zip 压缩包的每个文件进行验证,签名后还能对压缩包修改(移动/重新压缩文件)
      • 对V1签名的 apk/jar 解压,在 META-INF 存放签名文件( MANIFEST.MF, CERT.SF, CERT.RSA )
      • 其中 MANIFEST.MF 文件保存所有文件的 SHA1 指纹(除了 META-INF 文件),由此可知:V1签名是对压缩包中单个文件签名验证

    • V2签名:

      • 来自 Google(apksigner),对 zip 压缩包的整个文件验证,签名后不能修改压缩包(包括 zipalign )
      • 对V2签名的 apk 解压,没有发现签名文件,重新压缩后V2签名就失效, 由此可知: V2签名是对整个 APK 签名验证

    • V2签名的优点:

      • 签名更安全(不能修改压缩包)
      • 签名验证时间更短(不需要解压验证),因此安装速度更快

    注意: apksigner工具默认同时使用V1和V2签名,以兼容Android7.0以下系统版本

  • zipalign 和V2签名

    位于 Android SDK/build-tools/SDK 版本 /zipalign.exe
    zipalign 是对 zip 包对齐的工具,使APK包内未压缩的数据有序排列对齐,从而减少 APP 运行时消耗

    zipalign -v 4 in.apk out.apk //4字节对齐优化命令
    zipalign -c -v 4 in.apk //检查 APK 是否对齐

    zipalign 可以在V1签名后执行,但 zipalign 不能在V2签名之后执行,只能在V2签名之前执行!

  • 签名步骤

    • 生成密钥对(已有密钥库,可忽略)

      Eclipse或Android Studio在Debug时,对App签名都会使用一个默认的密钥库:
      默认在C:\Users\用户名.android\debug.keystore
      密钥库名: debug.keystore
      密钥别名: androiddebugkey
      密钥库密码: android

    生成密钥对

    1
    keytool -genkeypair -keystore 密钥库名 -alias 密钥别名 -validity 天数 -keyalg RSA

    参数:

    -genkeypair 生成一条密钥对(由私钥和公钥组成)
    -keystore 密钥库名字及存储位置(默认当前目录)
    -alias 密钥对的别名(密钥库可以存在多个密钥对,用于区分不同密钥对)
    -validity 密钥对的有效期(单位:天)
    -keyalg 生成密钥对的算法(常用 RSA/DSA ,DSA 只用于签名,默认采用DSA )

    提示:可重复使用此命令,在同一密钥库中创建多条密钥对

    例如:
    在 debug.keystore 中新增一对密钥,别名是release

    1
    keytool -genkeypair -keystore debug.keystore -alias release -validity 3000

    查看密钥库

    进入 JDK/bin,输入命令

    1
    keytool -list -v -keystore 密钥库名

    参数:

    -list 查看密钥列表
    -v 查看密钥详情

    例如:

    1
    keytool -list -v -keystore debug.keystore

好了,现在生成密钥了,也就可以签名了。

有密钥了,当然要给APK签名了

  1. 方法一( jarsigner ,只支持V1签名)
    进入JDK/bin, 输入命令
1
jarsigner -keystore 密钥库名 xxx.apk 密钥别名

从JDK7开始, jarsigner默认算法是SHA256, 但Android 4.2以下不支持该算法,所以需要修改算法, 添加参数 -digestalg SHA1 -sigalg SHA1withRSA

1
jarsigner -keystore 密钥库名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密钥别名

参数:

-digestalg 摘要算法
-sigalg 签名算法

例如:
用 JDK7 及以上 jarsigner 签名,不支持 Android4.2 以下

1
jarsigner -keystore debug.keystore app.apk androiddebugkey

用 JDK7 及以上 jarsigner 签名,兼容 Android4.2 以下

1
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA app.apk androiddebugkey
  1. 方法二( apksigner ,默认同时使用V1和V2签名)
    进入Android SDK/build-tools/SDK版本, 输入命令
1
apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk

若密钥库中有多个密钥对,则必须指定密钥别名

1
apksigner sign --ks 密钥库名 --ks-key-alias 密钥别名 xxx.apk

禁用V2签名:

1
apksigner sign --v2-signing-enabled false --ks 密钥库名 xxx.apk

参数:

–ks-key-alias 密钥库别名,若密钥库只有一个密钥对,则可省略,反之必选
–v1-signing-enabled 是否开启V1签名,默认开启
–v2-signing-enabled 是否开启V2签名,默认开启

例如:
在 debug.keystore 密钥库只有一个密钥对

1
apksigner sign --ks debug.keystore app.apk

在 debug.keystore 密钥库中有多个密钥对,所以必须指定密钥别名

1
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey app.apk

签名验证,康康自己的成果

  1. 方法一( keytool ,只支持V1签名校验)
    进入 JDK/bin , 输入命令
1
keytool -printcert -jarfile app.apk (显示签名信息)

参数:

-printcert 打印证书内容
-jarfile 已签名的 jar 文件或 apk 文件

  1. 方法二( apksigner ,支持V1和V2签名校验)
    进入 Android SDK/build-tools/SDK 版本, 输入命令
    1
    apksigner verify -v --print-certs xxx.apk

参数:

-v,–verbose 显示详情(显示是否使用V1和V2签名)
–print-certs 显示签名证书信息

例如:

1
2
3
4
5
6
apksigner verify -v app.apk

Verifies
Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Number of signers: 1
  1. 方法三(GetApkInfo.jar 支持v1,v2,并且是中文显示)

下载GetApkInfo.jar

查看包名,版本号,签名等信息,以qq为例:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
java -jar GetApkInfo.jar qq.apk

执行结果: 成功
应用信息:
  包名: com.tencent.mobileqq
  版本名: 7.8.8
  版本号: 942
  签名文件MD5: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  SDK版本:
      minSdkVersion:xx
      targetSdkVersion:xx
  V1签名验证通过: true
  使用V2签名: true
  V2签名验证通过: true

可以拿到包名,版本名称,版本号,签名文件md5值,sdk最小版本,应用支持的最低系统版本,v1和v2的签名情况

总结:

到这里你就把这篇文章看的七七八八了。但是你会产生一个疑问:为什么没写乐固加固过程?,因为现在乐固加固已经不是说用工具加固了,至少我在官网找了好久都没找到SDK或者包括Windows、Mac OS、Linux这几大平台的工具,一直都没找到。只有去腾讯乐固这里登录账号上传apk文件打包了,挺快的,二十分钟左右吧。

但是,上传之后要注意了:

上传之后是没有签名的,必须自己再重新签名!

也就是说,哪怕你是之前打包签名好的,但是你加固了,下载后的xxx_legu.apk也是没有签名的,必须自己签名,至于签名方法,在前面啦。祝各位好运^_^

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我的支持。😘✔