iOS App签名的原理
最简单的实现
要实现这个需求很简单,最直接的方式,苹果官方生成一对公私钥,私钥由苹果后台保管,公钥内置到iOS设备里,在我们将App上传到App Store上时,苹果后台使用私钥对App进行签名,iOS设备下载这个应用后,用公钥验证这个签名,若签名正确,则说明这个App是经过苹果后台认证的,并且没有被修改过,这样也就达到了苹果的目的:保证iOS设备安装的每一个APP都是经过苹果官方允许的。
image.png
如果我们的iOS设备安装App只通过App Store这一种方式的话,那么问题到这里就已经解决了,但是实际上除了从App Store上下载应用,还可以以一下三种方式安装一个APP:
1.作为开发者,开发App时直接进行真机调试。
2.In-House 企业内部分发,可以直接安装企业证书签名后的App。
3.AD-Hoc 相当于是企业分发的限制版,限制安装设备数量。
image.png
1.在你的Mac上生成一对公钥和私钥,称为公钥L和私钥L。
2.苹果自己有一对固定的公钥和私钥,私钥在苹果后台,公钥内置在iOS设备中,分别称为私钥A和公钥A。
3.把公钥L传到苹果后天,用苹果后天的私钥A去签名公钥L,得到一份数据包括公钥L和签名,这份数据称为证书。
4.在苹果后台申请好AppID,配置好设备ID列表,App权限开关,再加上第三步的证书,组成的数据用苹果后天的私钥A签名,把数据和签名一起组成一个Provisioning Profile文件,下载到本地Mac。
5.在开发时,编译完一个App后,用本地的私钥L对这个App进行签名,同时把第四步生成的Provisionning Profile一起打包进App里,文件名为embeded.mobileprovision,把App安装到手机。
6.在安装时,就可以使用iOS设备里内置的公钥A来验证Provisioning Profile的数字签名是否正确。
7.如果数字签名没有问题,那么就能确保设备ID,AppID,entitlements,和App都是经过苹果认证的,可以安装到iOS设备上。
上面的步骤对应我们平时具体操作和概念是这样的:
1.第一步对应的是从keychain里“从这证书颁发机构请求证书”,这样就在本地生成了一对公私钥,保存的额CertificateSigningRequest就是公钥,公钥保存在本地电脑里。
2.第二步苹果处理,不用管。
3.第三步把CertificateSigningRequest上传到苹果后天,生成证书,并下载到本地。
4.第四步是在苹果网站操作的,配置AppID,设备ID,权限等,生成Provisioning Profile文件,并下载Provisioning Profile文件到本地。
5.xcode通过第三步下载下来的证书,去找对应的本地私钥,用本地私钥去签名App,并把Provisioning Profile文件一起打包进去,安装进iOS设备。
总结一些概念:
1.证书:内容是公钥或者私钥,由其它机构对其签名组成的数据包。
2.entitlements:包含了App权限开关列表,AppID,设备ID等。
3.CertificateSigningRequest:本地公钥。
4.p12:本地私钥。
5.Provisioning Profile:包含证书,entitlements等数据,并由苹果后台私钥签名的数据包。
