我目前正在开发供开发人员使用的 RPC 服务,但想确保我可以区分另一个应用程序的调试密钥和它们的公钥。有没有办法检查另一个应用的密钥并判断它是否是调试密钥而不是已发布的应用密钥?
这样做的目的是能够判断他们的应用何时处于开发或发布状态,因为我需要能够判断他们应该访问我的开发服务器还是我的生产服务器。
【问题讨论】:
标签: android security certificate license-key
默认情况下,Eclipse 使用的 androiddebugkey(例如)有一个 notAfter 日期和时间,最多在未来 1 年 - Android 市场不接受这样一个短值 - 您可以使用它来区分在开发人员签名的版本之间?或者..您可以只检查应用使用的公钥 - 让他们使用应用的 android.content.pm.Signature 对 RPC 请求进行签名?
【讨论】:
static final String DEBUGKEY =
" key ";
public static boolean signedWithDebugKey(Context context, Class<?> cls)
{
boolean result = false;
try {
PackageInfo pinfo = context.getPackageManager().getPackageInfo("your package name",PackageManager.GET_SIGNATURES);
Signature sigs[] = pinfo.signatures;
Log.d(TAG,sigs[0].toCharsString());
if (DEBUGKEY.equals(sigs[0].toCharsString())) {
result = true;
Log.d(TAG,"package has been signed with the debug key");
} else {
Log.d(TAG,"package signed with a key other than the debug key");
}
} catch (android.content.pm.PackageManager.NameNotFoundException e) {
return false;
}
return result;
}
第一次使用 debugkey 运行此代码,这将始终返回 false,但您将在 Logcat 中获得编码的密钥。 复制那个编码的密钥,并替换 DEBUGKEY 的值“key”,它就可以正常工作了。
【讨论】:
静态最终字符串 DEBUGKEY = "key"; 这行似乎暗示我已经知道调试密钥,对吗?如果我是,我不可能知道调试密钥,因为它是由另一个开发人员提供的。我的 API 的工作方式是,对于调试应用程序,它可以免费用于测试,但对于已发布的应用程序,开发人员必须支付最低的集成费用。在不知道密钥是什么的情况下,我必须知道密钥是调试还是发布。