Android APK 快速签名——优化打包时间

一、Android 签名机制

Android 签名机制可划分为 ROM 签名机制与第三方 APK 签名机制，在这里只讨论 APK 签名机制。

Android 系统在安装 APK 的时候，首先会检验 APK 的签名，如果发现签名文件不存在或者校验签名失败，则会拒绝安装，所以应用程序在发布之前一定要进行签名。给 APK 签名可以带来以下好处：

• 应用程序升级。

  如果想无缝升级一个应用，Android 系统要求应用程序的新版本与老版本具有相同的签名与包名。若包名相同而签名不同，系统会拒绝安装新版应用。

• 应用程序模块化。

  Android 系统可以允许同一个证书签名的多个应用程序在一个进程里运行，系统实际把他们作为一个单个的应用程序。此时就可以把我们的应用程序以模块的方式进行部署，而用户可以独立的升级其中的一个模块。

• 代码或数据共享。

  Android 提供了基于签名的权限机制，一个应用程序可以为另一个以相同证书签名的应用程序公开自己的功能与数据，同时其它具有不同签名的应用程序不可访问相应的功能与数据。

• 应用程序的可认定性。

  签名信息中包含有开发者信息，在一定程度上可以防止应用被伪造。例如 网易云加密 对 Android APK 加壳保护中使用的“校验签名（防二次打包）”功能就是利用了这一点。

二、签名原理

对一个 APK 文件签名之后，APK 文件根目录下会增加 META-INF 目录，该目录下增加三个文件：

其中 .RSA 文件还可能是 .DSA 文件，RSA 与 SF 文件的文件名可以更改，但是它们的命名必须一样。

MANIFEST.MF 中保存了 APK 里所有文件的 SHA1 校验值的 BASE64 编码，格式如下（一个文件对应一条记录）：

                   Name: res/anim/abc_fade_in.xml                    SHA1-Digest: ohPEA4mboaFUu9LZMUwk7FmjbPI=                    
                   Name: res/anim/abc_fade_out.xml                    SHA1-Digest: MTJWZc22b5LNeBboqBhxcQh5xHQ=                    

SF 文件里保存了 MANIFEST.MF 文件的 SHA1 校验值的 BASE64 编码，同时还保存了 MANIFEST.MF 中每一条记录的 SHA1 检验值 BASE64 编码，格式如下：

                   SHA1-Digest-Manifest: ZRhh1HuaoEKMn6o21W1as0sMlaU=                    
                   Name: res/anim/abc_fade_in.xml                    SHA1-Digest: wE1QEZhFkLBWMw4TRtxPdsiMRtA=                    
                   Name: res/anim/abc_fade_out.xml                    SHA1-Digest: MfCV1efdxSKtesRMF81I08Zyvvo=                    

RSA 文件则包含了签名的公钥、签名所有者等信息，还保存了用 SHA1withRSA 签名算法对SF文件的签名结果信息。

Android 系统就是根据这三个文件的内容对 APK 文件进行签名检验的。

三、Android 签名方法

1、apksign、jarsinger

一般的签名过程可以由 apksign.jar 或者 jarsinger.jar 完成。apksign.jar 由 Android SDK 提供，使用方法如下：

       java -jar signapk.jar testkey.x509.pem testkey.pk8 update.apk update_signed.apk      

它接受一个 PEM 公钥文件，PK8 私钥文件，对 update.apk 进行签名，签名后的文件保存到 update_signed.apk。

jarsinger 是由 JDK 提供，使用方法如下：

jarsigner -verbose -keystore d:\\debug.keystore -signedjar update_signed.apk update.apk androiddebugkey -digestalg SHA1 -sigalg MD5withRSA -keypass android -storepass android

其中：

-keystore 表示 keystore 文件的路径 androiddebugkey 表示 keystore 中的一个别名 -digestalg 表示摘要算法 -sigalg 表示签名算法 -keypass 表示别名密码 -storepass 表示 keystore 密码

经过测试，我们发现以上两个传统的签名工具存在以下缺点：

1)、jarsigner 在对一个已经有 META-INF 目录的 APK 进行签名的时候，有可能会报错：

                   jarsigner: 无法对 jar 进行签名: java.util.zip.ZipException: invalid entry compressed size (expected 1368 but got 1379 bytes)                    

2)、如果 APK 中已经有签名文件且签名文件中的 RSA（或 DSA ）、SF 文件的命名不是 CERT 的时候，用这两个签名工具进行签名后，会出现：

META-INF 目录下会有两个 RSA / SF文件，会导致 APK 在安装的时候失败。

3)、签名花费时间长。这两个签名工具在生成签名后的 APK 时，是按 Zip 中一个 entry 接一个 entry 依次拷贝的，效率十分低。因为游戏类型 APK 类文件数量一般比较多，所以这一缺陷在签名游戏类型 APK 时，体现得尤为明显。

2、极速签名工具（ApkSinger）

针对 signapk.jar 与 jarsigner 在签名过程的缺点，我们开发了新的签名工具 ApkSinger.jar。主要是在保证签名正确的基础上：

1) 可以对已签名 APK 或已存在 META-INF 目录的 APK 进行签名。

2) 增加对目录处理的支持。通常在打多个渠道包时，需要对多个 APK 进行签名，所以增加对目录的签名支持是有必要的。

3) 提高处理效率，优化签名时间。对目录处理时，优势犹为明显！

命令行下运行：java -jar ApkSigner.jar 查看版本号与使用方法：

   NetEase ApkSigner1.2    Usage:    java -jar ApkSigner.jar [-appname test] -keystore keystorePath -alias alias [-pswd password] [-aliaspswd aliasPassword] apkPath(or directory)                    

参数	说明
-appname	待签名的应用程序名，可选，但建议不同的 APP 填上对应的 app 名（可以为中文），有助于【加速】
-keystore	后跟 .keystore 签名文件/td>
-alias	后跟签名别名
-pswd	后跟对应签名的密码，可选，如果不填，则签名的时候需要手动输入
-aliaspswd	对应别名 alias 的密码，如果没有则默认使用 keystore Password
	最后跟待签名的 APK 路径或者目录路径 ，如果跟的是目录则是批量签名。

选了几个不同体积的APK包进行测试，分别是：20M，144M，343M。分别建立文件夹 A、B、C， 分别放5个包（假设要打5个渠道包）。分别调用 jarsigner，signapk.jar， ApkSinger.jar 对各个文件夹里的APK进行签名，签名速度结果对比如下：

可以看出，极速签名工具（ApkSinger）的速度较其他的签名工具是非常快的，可以极大地优化打包流程，节省打包时间。工具下载链接：http://apk.aq.163.com/apkpack.do#download，另外，网易云加密 中也内置了快速签名工具以及多渠道打包的功能，欢迎提出反馈和建议。

APP架构师