Signature.hashCode 是指正确的 hashCode 吗?
is Signature.hashCode referring to the right hashCode?
下面的代码(sign.hashCode())是给我签名的hashCode还是对象在内存中的hash?
try {
PackageInfo packageInfo = getPackageManager().getPackageInfo(
"com.klxx.as", PackageManager.GET_SIGNATURES);
Signature[] signs = packageInfo.signatures;
Signature sign = signs[0];
Log.i("test", "hashCode : "+sign.hashCode());
} catch (Exception e) {
e.printStackTrace();
}
文档 (here) 仅说明以下内容,这与任何其他对象一样。
a hash code value for this object.
但是我在多个网站上看到上面的片段声称它显示了apk的标志。还有一些其他来源使用签名字节自行创建哈希。
Signature.hashCode() 被覆盖,在这种情况下是根据签名字节数组的内容计算的。
虽然其他答案在技术上是正确的,但它们在其他方面是 危险的错误:
是,Signature.hashCode() is overwritten 并且确实在签名的字节上计算了一些弱的 32 位散列值,这使得它具有确定性。
但是,你不应该使用这个值作为任何类型的信任决定的基础,如果你首先检索签名,你通常想要这样做。这是因为为 hashCode() 生成具有相同值的假签名非常容易:只需生成 2^32 随机签名证书就可以很好地找到冲突并且非常可行。
相反,您应该使用加密安全哈希函数,例如 SHA-256,例如将生成的哈希值转换为 Base64:
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hashBytes = digest.digest(sign.toByteArray());
String hash = Base64.encodeToString(hashBytes, Base64.NO_WRAP);
下面的代码(sign.hashCode())是给我签名的hashCode还是对象在内存中的hash?
try {
PackageInfo packageInfo = getPackageManager().getPackageInfo(
"com.klxx.as", PackageManager.GET_SIGNATURES);
Signature[] signs = packageInfo.signatures;
Signature sign = signs[0];
Log.i("test", "hashCode : "+sign.hashCode());
} catch (Exception e) {
e.printStackTrace();
}
文档 (here) 仅说明以下内容,这与任何其他对象一样。
a hash code value for this object.
但是我在多个网站上看到上面的片段声称它显示了apk的标志。还有一些其他来源使用签名字节自行创建哈希。
Signature.hashCode() 被覆盖,在这种情况下是根据签名字节数组的内容计算的。
虽然其他答案在技术上是正确的,但它们在其他方面是 危险的错误:
是,Signature.hashCode() is overwritten 并且确实在签名的字节上计算了一些弱的 32 位散列值,这使得它具有确定性。
但是,你不应该使用这个值作为任何类型的信任决定的基础,如果你首先检索签名,你通常想要这样做。这是因为为 hashCode() 生成具有相同值的假签名非常容易:只需生成 2^32 随机签名证书就可以很好地找到冲突并且非常可行。
相反,您应该使用加密安全哈希函数,例如 SHA-256,例如将生成的哈希值转换为 Base64:
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hashBytes = digest.digest(sign.toByteArray());
String hash = Base64.encodeToString(hashBytes, Base64.NO_WRAP);