如何在 Android 中签署 AAR 工件?
How to sign AAR Artifacts in Android?
我目前正在开发一个 .AAR android 库,我想用我自己的密钥对发布的工件进行签名,这样我就可以确定是否有一个具有相同名称和功能的假 aar是不是我发布的。
通知一:
我希望能够以编程方式检查我的库的真实性,即使是伪造的库也只是伪造了我的 aar 文件的部分功能。
通知2:
我不会将此 aar 发布到 maven、sonatype 或任何其他 public 存储库中。因此,我将为典型的发布流程对其进行签名,例如对 apk 文件进行签名。
可以通过执行生成:
./gradlew assembleRelease
或者从 gradle 菜单中 Android Studio 的右侧,select YourLibraryProject->Tasks->Build->AssembleRelease。
但是您当然需要在您的库项目中添加签名密钥。请阅读 Sign Your App
我没试过,但是这个 "should" 有效:
在您要创建的 aar 的 gradle 配置文件中创建这样的块:
signedAar {
signedConfig{
storeFile file("path/to/keystore")
storePassword "Password"
keyAlias "Alias"
keyPassword "AliasPassword"
}
}
然后将其添加到同一配置文件的 buildTypes -> release 块中:
signingConfig signedAar.signedConfig
让我们知道这是否有效
你为什么不 sha-256 散列你的 aar 文件?即使有人搞砸了,aar 的散列值也会发生变化,您就会知道。它对我有用 ;)
您可以使用 jarsigner 为您的 aar 库签名,并且您可以使用 keytool 生成签名密钥。这两个工具都位于 Android Studio 附带的嵌入式 JDK 中。执行以下操作以签署您的图书馆。
签约
使用密钥对生成密钥库。您需要提供证书字段:
keytool -genkeypair -alias aarsign -keypass mypassword -keystore aarsign.keystore -storepass mypassword -v
将生成的证书导出到 PEM 文件中:
keytool -exportcert -rfc -alias aarsign -file aarsign-public.pem -keystore aarsign.keystore -storepass mypassword -v
创建包含证书的密钥库:
keytool -importcert -alias aarsign -file aarsign-public.pem -keystore aarsign-public.keystore -storepass mypassword -v
图书馆签名:
jarsigner -keystore aarsign.keystore -storepass mypassword -keypass mypassword -signedjar lib-signed.aar -verbose lib.aar aarsign
正在验证
任何希望证明库真实性的人都需要以可靠的方式获取您的证书(或带有它的密钥库),然后输入此命令:
jarsigner -keystore aarsign-public.keystore -storepass mypassword -verify -verbose -certs lib-signed.aar aarsign
它会给出消息
jar verified.
带有一些关于证书过期和签名时间戳的警告。您可以通过创建更严格的证书来消除这些警告。请参阅 keytool 和 jarsigner 文档。
您可以通过两种方式查看您的库是否被篡改:摘要不匹配或证书不匹配。如果有人从不同的源代码或使用不同的资源生成 aar,摘要将不匹配并且 jarsigner 将发出警告,例如:
jarsigner: java.lang.SecurityException: invalid SHA-256 signature file digest for <file>
而且,如果有人提供的证书与您提供的证书不同,jarsigner 会发出警告:
Warning:
This jar contains entries whose certificate chain is not validated.
This jar contains signed entries which are not signed by the specified alias(es).
This jar contains signed entries that are not signed by alias in this keystore.
因为variant.signingConfig对我不起作用我用过
apply plugin: 'com.android.library'
...
android {
...
signingConfigs {
release {
storeFile file("${rootProject.projectDir}/keystore.jks")
storePassword "XXXX"
keyAlias "alias"
keyPassword "XXXX"
}
}
...
}
tasks.whenTaskAdded { task ->
if (task.name == 'assembleRelease') {
def aarPath = "${project.buildDir}/outputs/aar/XXX-release.aar"
task.doLast {
ant.signjar(
alias: android.signingConfigs.release.keyAlias,
jar: aarPath,
keystore: android.signingConfigs.release.storeFile,
storepass: android.signingConfigs.release.storePassword,
keypass: android.signingConfigs.release.keyPassword,
preservelastmodified: 'true')
ant.verifyjar(
alias: android.signingConfigs.release.keyAlias,
jar: aarPath,
keystore: android.signingConfigs.release.storeFile,
storepass: android.signingConfigs.release.storePassword,
keypass: android.signingConfigs.release.keyPassword)
}
}
}
我目前正在开发一个 .AAR android 库,我想用我自己的密钥对发布的工件进行签名,这样我就可以确定是否有一个具有相同名称和功能的假 aar是不是我发布的。
通知一:
我希望能够以编程方式检查我的库的真实性,即使是伪造的库也只是伪造了我的 aar 文件的部分功能。
通知2:
我不会将此 aar 发布到 maven、sonatype 或任何其他 public 存储库中。因此,我将为典型的发布流程对其进行签名,例如对 apk 文件进行签名。
可以通过执行生成:
./gradlew assembleRelease
或者从 gradle 菜单中 Android Studio 的右侧,select YourLibraryProject->Tasks->Build->AssembleRelease。
但是您当然需要在您的库项目中添加签名密钥。请阅读 Sign Your App
我没试过,但是这个 "should" 有效:
在您要创建的 aar 的 gradle 配置文件中创建这样的块:
signedAar {
signedConfig{
storeFile file("path/to/keystore")
storePassword "Password"
keyAlias "Alias"
keyPassword "AliasPassword"
}
}
然后将其添加到同一配置文件的 buildTypes -> release 块中:
signingConfig signedAar.signedConfig
让我们知道这是否有效
你为什么不 sha-256 散列你的 aar 文件?即使有人搞砸了,aar 的散列值也会发生变化,您就会知道。它对我有用 ;)
您可以使用 jarsigner 为您的 aar 库签名,并且您可以使用 keytool 生成签名密钥。这两个工具都位于 Android Studio 附带的嵌入式 JDK 中。执行以下操作以签署您的图书馆。
签约
使用密钥对生成密钥库。您需要提供证书字段:
keytool -genkeypair -alias aarsign -keypass mypassword -keystore aarsign.keystore -storepass mypassword -v
将生成的证书导出到 PEM 文件中:
keytool -exportcert -rfc -alias aarsign -file aarsign-public.pem -keystore aarsign.keystore -storepass mypassword -v
创建包含证书的密钥库:
keytool -importcert -alias aarsign -file aarsign-public.pem -keystore aarsign-public.keystore -storepass mypassword -v
图书馆签名:
jarsigner -keystore aarsign.keystore -storepass mypassword -keypass mypassword -signedjar lib-signed.aar -verbose lib.aar aarsign
正在验证
任何希望证明库真实性的人都需要以可靠的方式获取您的证书(或带有它的密钥库),然后输入此命令:
jarsigner -keystore aarsign-public.keystore -storepass mypassword -verify -verbose -certs lib-signed.aar aarsign
它会给出消息
jar verified.
带有一些关于证书过期和签名时间戳的警告。您可以通过创建更严格的证书来消除这些警告。请参阅 keytool 和 jarsigner 文档。
您可以通过两种方式查看您的库是否被篡改:摘要不匹配或证书不匹配。如果有人从不同的源代码或使用不同的资源生成 aar,摘要将不匹配并且 jarsigner 将发出警告,例如:
jarsigner: java.lang.SecurityException: invalid SHA-256 signature file digest for <file>
而且,如果有人提供的证书与您提供的证书不同,jarsigner 会发出警告:
Warning:
This jar contains entries whose certificate chain is not validated.
This jar contains signed entries which are not signed by the specified alias(es).
This jar contains signed entries that are not signed by alias in this keystore.
因为variant.signingConfig对我不起作用我用过
apply plugin: 'com.android.library'
...
android {
...
signingConfigs {
release {
storeFile file("${rootProject.projectDir}/keystore.jks")
storePassword "XXXX"
keyAlias "alias"
keyPassword "XXXX"
}
}
...
}
tasks.whenTaskAdded { task ->
if (task.name == 'assembleRelease') {
def aarPath = "${project.buildDir}/outputs/aar/XXX-release.aar"
task.doLast {
ant.signjar(
alias: android.signingConfigs.release.keyAlias,
jar: aarPath,
keystore: android.signingConfigs.release.storeFile,
storepass: android.signingConfigs.release.storePassword,
keypass: android.signingConfigs.release.keyPassword,
preservelastmodified: 'true')
ant.verifyjar(
alias: android.signingConfigs.release.keyAlias,
jar: aarPath,
keystore: android.signingConfigs.release.storeFile,
storepass: android.signingConfigs.release.storePassword,
keypass: android.signingConfigs.release.keyPassword)
}
}
}