1.Android基础『V1V2V3签名』
2.APK 文件是什么？相关知识点有哪些？

Android基础『V1V2V3签名』

        签名：在 APK 中写入一个「指纹」。指纹写入以后，APK 中有任何修改，都会导致这个指纹无效，Android 系统在安装 APK 进行签名校验时就会不通过，从而保证了安全性。

        摘要算法： 使用一段简单的看上去随机的不可逆向的固定长度的字符串来表示一个文件的唯一性。 常见的摘要算法如MD5(个比特位)、SHA-1算法(//个比特位)。

        公钥密码体制：也称非对称算法，特点是公钥是公开的，私钥是保密的。常见的如：RSA。

        展开讨论一下RSA：

        Android中的签名方案

        V1 ：基于jarsigner(JDK自带工具，使用keystore文件进行签名) 或 apksigner(Android专门提供的，使用pk8、x.pem进行签名)。keystore和pk8/x.pem可以相互转换。

        签名原理：首先keystore文件包含一个MD5和一个SHA1摘要。这也是很多开放平台需要我们上传的摘要数据。

        签名APK后会在META-INF文件夹下生产CERT.RSA、CERT.SF、MANIFEST.MF三个文件。

        在apk中，/META-INF文件夹中保存着apk的签名信息，一般至少包含三个文件，[CERT].RSA，[CERT].SF和MANIFEIST.MF文件。这三个文件就是对apk的签名信息。

        MANIFEST.MF中包含对apk中除了/META-INF文件夹外所有文件的签名值，签名方法是先SHA1()(或其他hash方法)在base()。存储形式是：Name加[SHA1]-Digest。

        [CERT].SF是对MANIFEST.MF文件整体签名以及其中各个条目的签名。一般地，如果是使用工具签名，还多包括一项。就是对MANIFEST.MF头部信息的签名，关于这一点前面源码分析中已经提到。

        [CERT].RSA包含用私钥对[CERT].SF的签名以及包含公钥信息的数字证书。

          是否存在签名伪造可能：

        修改(含增删改)了apk中的文件，则：校验时计算出的文件的摘要值与MANIFEST.MF文件中的条目不匹配，失败。

        修改apk中的文件+MANIFEST.MF,则：MANIFEST.MF修改过的条目的摘要与[CERT].SF对应的条目不匹配，失败。

        修改apk中的文件+MANIFEST.MF+[CERT].SF，则：计算出的[CERT].SF签名与[CERT].RSA中记录的签名值不匹配，失败。

        修改apk中的文件+MANIFEST.MF+[CERT].SF+[CERT].RSA，则：由于证书不可伪造，[CERT].RSA无法伪造。

        V2 ：7.0新增的

        签名后的包会被分为四部分

        1. Contents of ZIP entries（from offset 0 until the start of APK Signing Block）

        2. APK Signing Block

        3. ZIP Central Directory

        4. ZIP End of Central Directory

新应用签名方案的签名信息会被保存在区块2（APK Signing Block）中， 而区块1（ Contents of ZIP entries ）、区块3（ ZIP Central Directory ）、区块4（ ZIP End of Central Directory ）是受保护的，在签名后任何对区块1、3、4的修改都逃不过新的应用签名方案的检查。

        V3 ：9.0新增的

格式大体和 v2 类似，在 v2 插入的签名块（Apk Signature Block v2）中，又添加了一个新快（Attr块）。

        在这个新块中，会记录我们之前的签名信息以及新的签名信息，以 密钥转轮的方案，来做签名的替换和升级。这意味着，只要旧签名证书在手，我们就可以通过它在新的 APK 文件中，更改签名 。

        v3 签名新增的新块（attr）存储了所有的签名信息，由更小的 Level 块，以链表的形式存储。

        其中每个节点都包含用于为之前版本的应用签名的签名证书，最旧的签名证书对应根节点，系统会让每个节点中的证书为列表中下一个证书签名，从而为每个新密钥提供证据来证明它应该像旧密钥一样可信。

        这个过程有点类似 CA 证书的证明过程，已安装的 App 的旧签名，确保覆盖安装的 APK 的新签名正确，将信任传递下去。

        注意：签名方式只支持升级不支持降级，如安装了V2的包，不能覆盖替换为V1的包。

        参考

        Android App签名(证书)校验过程源码分析

        新一代开源Android渠道包生成工具Walle

        Android 签名机制 v1、v2、v3

APK 文件是什么？相关知识点有哪些？

       APK文件全称为Android Package Kit，主要用于分发和安装移动应用程序或中间件。安装方法包括通过可信来源下载和允许应用程序获取必要权限。APK文件包含代码、资源、资产、色流源码证书和清单文件，使开发者能轻松地在Android生态系统中发布和管理应用，用户亦可方便下载、安装和更新。

       安装APK文件，用户需从可信渠道下载并可能需授权给应用程序特定权限以确保其正常运作。二维码读取程序源码为避免风险，建议仅从信誉良好的来源获取APK文件。

       APK文件通常包含代码、资源、资产、证书和清单文件，共同构成了Android应用运行所需的所有内容。通过理解APK文件结构，开发者能更好地组织和优化其应用。

       签名APK文件是为了确保完整性和来源验证。此过程涉及生成密钥库和密钥，梦幻西游客户端源码视频配置签名信息，并使用Android Studio或命令行工具构建并签名APK。验证签名则使用apksigner工具进行。

       APK签名机制对应用程序安全至关重要，为开发者、用户和应用市场提供了信任框架。通过签名，应用程序的完整性和安全性得到保证。

       从APK文件中提取资源和类文件，需通过指定步骤实现。若非原始作者，淘宝优惠券网站源码怎么用提取资源文件可能涉及版权问题，应在进行操作时确保有适当权限。

       优化APK文件大小的步骤包括压缩代码、减小资源大小、移除冗余数据等。通过执行这些技术，可以显著减小APK文件大小，提高下载和安装速度，减少用户设备存储占用。

       APK分割是一种将完整APK分解为多个较小文件的技术，针对不同设备配置优化，三星官网项目源码查询降低数据使用量和安装时间。通过动态交付，开发者可提供更高效、更优化的APK文件给用户。

       Android App Bundle（AAB）是Google推出的新应用发布格式，简化了应用程序的发布和管理过程，提供了更小、更快、更优化的APK文件。与传统APK相比，AAB更易于针对不同设备配置优化应用程序。

       检查APK文件签名的步骤包括使用命令行工具，如apksigner，验证其完整性与来源。确保私钥和敏感信息安全，防止未经授权的访问和篡改。

       通过命令行构建APK文件通常涉及使用Android构建工具，如Gradle或Maven。基本步骤包括安装Android SDK和Gradle、打开命令行工具、配置签名信息、运行构建命令并安装APK文件。

       更新已发布的APK文件涉及修改代码、增加版本号、重新构建APK、签名并上传至应用发布平台。测试新版本并按照发布平台指南上传新版本，确保无问题。

       识别和处理APK文件中的安全风险，需遵循多步骤和持续过程。关键步骤包括识别风险、测试、优化代码混淆与缩减、分析APK大小并更新规则。

       ProGuard和R8是代码混淆和缩减工具，帮助减小APK文件大小，提高性能和保护源代码。通过配置规则和构建应用，可实现APK文件的缩减。

       AndroidManifest.xml文件为应用程序提供了核心信息，如权限、活动、服务等，确保系统正确运行和管理应用。此文件是每个Android应用的基础。

       为不同设备或屏幕尺寸生成多个APK文件，通过配置APK分割、提供优化资源和代码、构建APK并测试，确保每个配置都能正常工作。

       诊断APK文件性能问题，使用性能分析工具如Profiling Tools和Instrumentation，识别瓶颈并优化代码。通过综合方法和技术，全面诊断性能问题。

       确保APK文件兼容不同Android操作系统版本，需在开发、测试和维护中考虑兼容性问题，包括使用兼容库、进行多版本测试和更新以适应Android发展。