1 工具准备
本文涉及的命令行工具:
- keytool.exe:**和证书管理工具,由JDK提供,位于JDK_HOME\bin\目录下
- jarsigner.exe:Jar签名工具,由JDK提供,位于JDK_HOME\bin\目录下
- apksigner.bat:apk签名工具,由Android SDK build-tools 24.0.3以上版本提供,需配合JDK 8及以上版本使用,位于(例)SDK_HOME\build-tools\24.0.3\目录下
- zipalign:对齐优化工具,由Android SDK提供,位于(例)SDK_HOME\build-tools\24.0.3\目录下
2 签名方式
Android应用打包后需要对apk进行签名和执行zipalign优化。
zipalign是Android提供的对齐优化工具,可以对apk中的非压缩数据进行4字节边界对齐,从而提高读取效率,让应用运行更快,内存占用更少。Android Studio可以自动执行此优化。Google商店会要求应用必须经过对齐优化。
下面分别介绍两种签名方式。
2.1 Jar签名
在Android 6.0及以前,Android采用Jar签名方式(即v1 scheme)对apk进行签名。由于v1签名不验证归档文件中的内容,因此签名后的apk仍可能被修改而不影响签名校验(打渠道包和zipalign就是利用的这一点)。
JDK提供了Jar签名工具jarsigner。使用jarsigner签名,zipalign必须在签名之后执行,因为jarsigner可能造成对齐结果被打乱。
我们一般使用keystore文件保存签名信息,来签名apk文件(%apk%)。创建keystore时需设置密码(%password%)。keystore可以用Android Studio或Eclipse来创建,也可以使用keytool命令创建,此处略。
2.1.1 签名步骤
对apk执行签名:
jarsigner -sigalg SHA1withRSA -digestalg SHA1 -keystore "%keystoreFile%" -storepass %password% -keypass %password% -signedjar %signedApk% %apk% %alias%
其中%alias%是key的别名,可以从keystore中读取:
keytool -list -keystore %keystoreFile% -storepass %password% -v
例:(其中能看到key的别名和指纹)
对签名后的apk执行对齐优化:
zipalign -v 4 %signedApk% %alignedApk%
2.1.2 签名验证
用jarsigner验证apk是否签名成功:
jarsigner -verify -verbose:summary %apkFile%
例:(“jar已验证”表明已有v1签名。但此方式并不验证该签名算法是否在目标API上都有效。目标API指该apk所支持安装的API,由manifest文件中的minSdkVersion所确定)
使用keytool还可以查看已签名apk的签名指纹:
keytool -list -printcert -jarfile %signedApk%
例:(可以将如下apk的签名指纹和2.1.1所读取的keystore的签名指纹进行比较,以确认签名所采用的keystore是否正确)
2.2 apk签名
Android 7.0引入了一项新的签名方案:APK Signature Scheme v2,它是一个对全文件进行签名的方案,提供了更快的校验速度(应用安装更快)和更强的完整性保护。
相应地,Android SDK Build Tools 从24.0.3版本开始,提供了一个签名工具apksigner,同时支持v1和v2签名,以兼容旧版Android。使用apksigner签名时,zipalign必须在签名之前执行,因为zipalign会导致签名失效。
我们仍以keystore文件为例,不同的是我们可以把密码作为单独一行放在文本文件(%passwordFile%)中,在命令行中调用该文件即可。
2.2.1 签名步骤
对签名前的apk执行对齐优化:
zipalign -v 4 %apk% %alignedApk%
对对齐优化后的apk执行签名:
apksigner sign --ks "%keystoreFile%" --ks-pass file:"%passwordFile%" --out "%signedApk%" "%alignedApk%"
key别名不再是必须的,但如果keystore中同时存在多个key,则必须通过--ks-key-alias参数指定key别名,以便区分使用哪个key来作签名。
2.2.2 签名验证
用apksigner 验证签名结果:
apksigner verify -v %apkFile%
例:(“Verifies”表明签名验证通过。下图表明仅有v1签名,没有v2签名)
2.3 两种方式的比较
v1签名是Android最初所采用的签名方案,在Android 7.0及以上平台也得到兼容支持;v2签名只在Android 7.0及以上平台有效。
在Android 7.0及以上平台,签名校验会先验证v2签名,如果验证失败,则签名校验失败,不再验证v1签名;如果不存在v2签名,则验证v1签名。
在Android 7.0以下平台,会忽略v2签名,只验证v1签名。
apksigner是Android官方的签名工具,它可以根据manifest中的minSdkVersion,知晓应用的目标API范围,从而选择合适的签名方案,以确保签名在所有目标API上都能得到支持。它可以同时进行v1和v2签名,以同时支持从7.0以下到7.0以上的Android平台。
因此建议采用apksigner进行签名。
3 一键签名
基于以上分析,我们可以利用keytool、zipalign、apksigner工具,将Android签名、验证整合到批处理脚本中,通过右键菜单调用。
右键菜单可以通过修改注册表实现:
---------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.apk]
@="AndroidPackage"
[HKEY_CLASSES_ROOT\AndroidPackage]
@="安卓包"
[HKEY_CLASSES_ROOT\AndroidPackage\shell]
[HKEY_CLASSES_ROOT\AndroidPackage\shell\安卓签名]
[HKEY_CLASSES_ROOT\AndroidPackage\shell\安卓签名\command]
@="\"D:\\apktools\\tools\\sign\\sign.bat\" \"%1\""
---------------------------------------------------
最终效果:当鼠标右键点击apk文件时,菜单中会出现“安卓签名”这一项,点击即可调用批处理脚本sign.bat进行签名处理。
4 附件
4.1 实现签名的Windows powershell脚本
powershell签名脚本 (你需要对其中涉及的keystore文件和password文件路径和文件名进行替换)
4.2 实现右键菜单运行powershell脚本的注册表
右键菜单调用powershell脚本的注册表项 (你需要对其中涉及的脚本路径和文件名进行替换)