Android APK手动签名
最近有写 gradle 脚本打包 apk,于是不可避免地接触到了命令行,其实也直接可以通过 Android Studio 来进行打包,但为了方便拓展,比如多渠道打包,签名以及瘦身之类的。
记录一下,用到的命令,方便遗忘时找回(文中链接有的需要翻墙)。
1.应用签名
通过应用签名,开发者可以标识应用创作者并更新其应用,而无需创建复杂的接口和权限。在 Android
平台上运行的每个应用都必须有开发者的签名。 Google Play
或 Android
设备上的软件包安装程序会拒绝没有获得签名就尝试安装的应用。
详情请见 应用签名。
2.签名工具
工具 | 功能 | 位置 |
---|---|---|
jarsigner | JAR 签名和校验工具 | jdk/bin/jarsigner.exe |
apksigner | Google官方提供的针对 Android apk 签名及验证的专用工具 | Android\sdk\build-tools\30.0.2\lib\apksigner.jar |
zipalign | 对 zip 包对齐的工具,使 APK 包内未压缩的数据有序排列对齐, 从而减少 APP 运行时内存消耗 |
Android\sdk\build-tools\30.0.2\zipalign.exe |
注意:如果您在使用 apksigner 为 APK 签名后又对 APK 做了更改,则 APK 的签名将会失效。因此,要使用 zipalign 等工具,您必须在为 APK 签名之前使用。
3.APK签名方案
在 Android7.0
引入了 jdk7
才支持的 V2 签名(v2 Scheme APK Signatur)
,这一签名不需要对所有文件进行摘要计算、且增加了 APK
签名分块并且该分块有特定格式,所以,使用 V2
签名后,apk
的安装速度与完整性保障都有不错的提升;然而,由于需要兼容旧版本,V1 签名(v1 Scheme JAR Signing)
不能完全去掉。
3.1 V1签名
- 来自JDK(jarsigner), 对zip压缩包的每个文件进行验证, 签名后还能对压缩包修改(移动/重新压缩文件)
- 对V1签名的apk/jar解压,在META-INF存放签名文件(MANIFEST.MF, CERT.SF, CERT.RSA),
- 其中MANIFEST.MF文件保存所有文件的SHA1指纹(除了META-INF文件), 由此可知: V1签名是对压缩包中单个文件签名验证
jarsigner命令详解
3.1.1方法一(jarsigner,只支持V1签名)
从 JDK7 开始, jarsigner 默认算法是 SHA256, 但 Android 4.2 以下不支持该算法,
所以需要修改算法, 添加参数 -digestalg SHA1 -sigalg SHA1withRSA
用法:
jarsigner -keystore 密钥库名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密钥别名
参数: -digestalg 摘要算法
-sigalg 签名算法
用 JDK7 及以上 jarsigner 签名,不支持 Android 4.2 以下
jarsigner -keystore debug.keystore MyApp.apk androiddebugkey
用 JDK7 及以上 jarsigner 签名,兼容 Android 4.2 以下
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey
实战:
jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore keystore .jks -storepass 密码 -keypass 密码 -signedjar signPath.apk unSignPath.apk 密钥别名
3.1.2方法二(apksigner,默认同时使用V1和V2签名)
用法:
apksigner sign –ks 密钥库名 –ks-key-alias 密钥别名 xxx.apk
若密钥库中有多个密钥对,则必须指定密钥别名
apksigner sign –ks 密钥库名 –ks-key-alias 密钥别名 xxx.apk
禁用V2签名
apksigner sign --v2-signing-enabled false --ks 密钥库名 xxx.apk
参数: –ks-key-alias 密钥别名,若密钥库有一个密钥对,则可省略,反之必选
–v1-signing-enabled 是否开启 V1 签名,默认开启
–v2-signing-enabled 是否开启 V2 签名,默认开启
例如:
在 debug.keystore 密钥库只有一个密钥对
apksigner sign --ks debug.keystore MyApp.apk
在 debug.keystore 密钥库中有多个密钥对,所以必须指定密钥别名
//apksigner -verbose -keystore (签名地址) -signedjar (签名后的apk地址) (待签名apk地址) (别名)
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk
3.2 zipalign优化
zipalign
是一个归档对齐工具,确保所有未压缩的数据都以相对于文件开始的特定对齐方式开始, 减少了运行应用程序时消耗的 RAM 数量。
归档对齐优化:
zipalign -f -v 4 sample_unalign.apk sample_zipalign.apk
参数:
-f : overwrite existing outfile.zip
-v : verbose output
-p : outfile.zip should use the same page alignment for all shared object files within infile.zip
-c : confirm the alignment of the given file
确认 sample_zipalign.apk 是否已经 zipalign 排列过:
zipalign -c -v 4 sample_zipalign.apk
注意:如果使用 jarsigner 对 APK 文件签名,则只能在 APK 签名之后进行归档优化。
如果使用 apksigner 对 APK 文件签名,则在签名前使用 zipalign 进行归档对齐优化,否则签名无效。
所以,对于签名v1、v2、zipalign对齐的顺序是:v1----zipalign对齐----v2
3.3 V2签名
APK 签名方案 v2 是一种全文件签名方案,该方案能够发现对 APK 的受保护部分进行的所有更改,从而有助于加快验证速度并增强完整性保证。详情请见 APK 签名方案 v2 。
3.3.1 V2签名
- 来自 Google(apksigner) , 对 zip 压缩包的整个文件验证, 签名后不能修改压缩包(包括 zipalign ),
- 对 V2 签名的 apk 解压,没有发现签名文件,重新压缩后 V2 签名就失效, 由此可知: V2 签名是对整个 APK 签名验证。
3.3.2 V2 签名优点:
- 签名更安全(不能修改压缩包)
- 签名验证时间更短(不需要解压验证),因而安装速度加快
3.3.3 基本使用 !!!:
apksigner 命令详解
apksigner 工具默认同时使用 v1 和 v2 签名,兼容 android7.0 以前版本。
对 apk 进行签名:
// apksigner sign --ks (签名地址) --ks-key-alias (别名) --out (签名后的 apk 地址) (待签名 apk 地址)
java -jar APK_SIGNER_LIB_PATH sign -ks <filename>.keystore --ks-key-alias <alias-name> --ks-pass pass:<password> --key-pass pass:<password> --out sample_signed.apk sample.apk
注:可能我的电脑是 Win 系统,需要 “java -jar” 开头,还需要配置路径
mac 的话直接 apksigner + sign ...
配置文件 APK_SIGNER_LIB_PATH=E\:/Android/sdk/build-tools/30.0.2/lib/apksigner.jar
查看签名信息:
apksigner verify -v --print-certs sample_signed.apk
查看签名证书信息:
keytool -printcert -jarfile MyApp.apk
使用美团 Walle 多渠道打包
java -jar walle-cli-all.jar batch -c yingyongbao,baidu,qh360 sample_signed.apk
查看apk信息
aapt dump badging sample_signed.apk
查看密钥库
keytool -list -v -keystore debug.keystore
3.4 V3签名
Android 9 支持 APK 密钥轮替,这使应用能够在 APK 更新过程中更改其签名密钥。为了实现轮替,APK 必须指示新旧签名密钥之间的信任级别。为了支持密钥轮替,我们将 APK 签名方案从 v2 更新为 v3,以允许使用新旧密钥。v3 在 APK 签名分块中添加了有关受支持的 SDK 版本和 proof-of-rotation 结构的信息。
详情请见 APK 签名方案 v3 。
最后,参考链接:
Android APK手动签名
Android中APK签名工具之jarsigner和apksigner详解
Google 官网-应用签名