android驗證apk簽名

『壹』 如何判斷 android 應用的 Apk 簽名是否一致

在程序中獲取APK的簽名時，通過signature方輪慎法進行獲取，如卜散下：
packageInfo = manager.getPackageInfo(pkgname,PackageManager.GET_SIGNATURES);
signatures = packageInfo.signatures;
for (Signature signature : signatures) {
builder.append(signature.toCharsString());
}
signature = builder.toString();

所以一般的程序就是在代碼中通過判型桐氏斷signature的值，來判斷APK是否被重新打包過。

『貳』 如何對android的apk簽名進行驗證

方法/步驟

1
菜單菜單鍵，鍵入cmd命令進入命令模式。如圖：

2
命令模式中，進入JDK的安裝目錄的Bin子目錄下。（我的JDK安裝在E盤，所以先進入E盤，然後再進入JDK安裝目錄）

3
通過keytool.exe 工具來創建keystore庫.
輸入以下命令：
keytool -genkeypair -alias - mydemo.keystore -keyalg RSA -validity 100
-keystore mydemo.keystore
命令說明如下：
-genkeypair ：指定生成數字證實
-alias ：指定生成數字證書的別名
-keyalg：指定生成數字證書的演算法 這里如RSA演算法
-validity：指定生成數字證書的有效期
-keystore ：指定生成數字證書的存儲路徑。 （這里默認在keytool.exe 目錄下）
回車 出現如圖互動式界面 輸入數字證書費密碼 作者 公司等詳細信息
如圖 ：

4
完成後，keystore庫創建完成，你可以在指定的保存目錄下找到 如圖：

5
使用jarsigner命令對未簽名的APK安裝包進行簽名。使用JDK安裝目錄下bin子目錄下的jarsigner.exe工具來進行簽名。
然後把未簽名的apk也拷貝到此目錄。如圖：

6
使用如下命令進行簽名：
jarsigner -verbose -keystore mydemo.keystore -signedjar
-Note.apk Notes.apk mydemo.keystore
以上命令的說明：
-verbose：指定生成詳細輸出
-keystore：指定數字證書存儲路徑
-signedjar：該選項的三個參數為 簽名後的apk包 未簽名的apk包 數字證書別名
注意有效期哦。

7
簽名後的apk 如圖：

8
sdk目錄下tool目錄下使用zipalign.exe工具優化APK安裝包。
將已經簽名的apk包放在zipalign.exe同目錄下 如圖：

9
使用如下命令：
zipalign -f -v 4 -Note.apk -Notes.apk
命令說明：
-f ：指定強制覆蓋已有文件
-v 指定生成詳細輸出
4：指定檔案整理基於的位元組數 一般是4 也有基於32位的。
-Note.apk :優化前APK
-Notes.apk 優化後的APK

10
運行命令後，在該目錄下生成一個-Notes.apk,這個就是優化過的APK安裝包
，該安裝包可以對外發布。
如圖：
如果能對你有幫助，希望你能收藏和支持。

http://jingyan..com/article/3c48dd3491d91fe10be358f4.html

『叄』 apk簽名是什麼意思

apk是安卓應用軟體包，apk簽名是軟體包在安裝的時候進行的安全性驗證機制。

這種簽名機制目的是為了確保Apk來源的真實性，以及Apk沒有被第三方篡改。開發者通過對Apk進行簽名：在Apk中寫入一個「指紋」。指紋寫入以後，Apk中有任何修改，都會導致這個指紋無效，Android系統在安裝Apk進行簽名校驗時就會不通過，從而保證了安全性。

(3)android驗證apk簽名擴展閱讀：

1、APK的格式定義

在Android平台中，dalvikvm的執行文件被打包為apk格式，最終運行時載入器會解壓，然後獲取編譯後的androidmanifest.xml文件中的permission分支相關的安全訪問，但仍然存在很多安全限制，如果你將apk文件傳到/system/app文件夾下，會發現執行是不受限制的。安裝的文件可能不是這個文件夾，而在androidrom中，系統的apk文件默認會放入這個文件夾，它們擁有著root許可權。

2、APK的開發環境

Android是一個基於java的開發環境，Google也在API文檔的書寫和樣例的提供上做了很出色的工作。

3、獲取SDK

下載並安裝android的SDK[軟體開發套件]，這套SDK主要包括有核心庫文件，一個模擬器，開發工具和一些示範的樣例文件。推薦使用Eclipse 和androideclipse 擴展。如果只是使用android，Eclipse IDE就已經足夠了，但如果是第一次開發Java應用，建議下載完整的Java SE 開發工具 (JDK) 因為它包括簽發應用程序所需要的工具。

4、APK應用架構

android應用架構很關鍵，如果不學習它，設計出來的游戲將是一種很難修復bug的產品。 需要了解應用程序、活動、Intents以及它們是如何互相聯系交互的，Google在這兒提供了良好的信息架構。真正重要的是，要理解為什麼在設計的游戲中，需要不止一個的活動進程，以及如何設計一個用戶體驗良好的游戲。這些都應當配合到應用的生命周期中。

5、APK應用的生命周期

應用的生命周期是由Android OS操作系統進行管理的，活動進程都將作為系統命令進行創建，正確處理這些事件對一個應用程序來說是極為重要的，因為終端用戶不會知道什麼是正確的。最好在開始設計游戲之前搞明白這些，因為這有助於節省調試時間以及避免代價高昂的重新設計。

對大多數應用而言，默認設置即可開始工作，但對游戲而言，可能需要調整單態實例的信號為打開。在默認情況下，Android會新建一個活動實例進程，因為它認為這是比較合適的，而游戲，可能只希望有一個活動的實例進程，這有一點兒影響，它需要了解一些系統狀態的管理。

『肆』 安卓 自動簽名 以及如何驗證一個apk包是用你的簽名文件簽名的

## 使用自動簽名的方法

1. 創建或者修改 ~/.gradle/gradle.properties

2. 在gradle.properties 文件中增加下面的內容.(具體內容需要根據實際來更改)

STORE_PASSWORD=xysys

KEY_ALIAS=xxsasd

KEY_PASSWORD=988asdf

3. 這樣每次build的時候，總是用keystore來簽名，不會用生成的debug來簽名了

## 使用命令行來構建APK

進入項目最高層目錄,找到 gradlew. 執行下面的命令來構建所有類型的APK，自動使用官方簽名

## 驗證簽名是官方簽名

1. 使用keytool 獲取apk包的指紋

例如：

2. 查看keystore的指紋

apk的簽名指紋跟keystore中的指紋一致表明該包是用keystore來簽名的。

注意：若java版本是7之前的，需要先把apk解壓，

來看包的指紋。

『伍』 APK簽名機制原理詳解

眾所周知，Android系統在安裝Apk的過程中，會對Apk進行簽名校驗，校驗通過後才能安裝成功。那你知道簽名校驗的機制是什麼？具體校驗的是什麼內容嗎？申請第三方SDK（如微信支付）時填入的SAH1值是什絕頌高么？目前眾多的快速批量打包方案又是如何繞過簽名檢驗的？

我將通過一系列的文章來解開這些疑惑：

這篇文章先來介紹Apk簽名相關的基本知識。

要知道簽名是什麼，先來看為什麼需要簽名 。大家都知道，在消息通信時，必須至少解決兩個問題：一是確保消息來源的真實性，二是確保消息不會被第三方篡改。在安裝Apk時，同樣需要確保Apk來源的真實性，以及Apk沒有被第三方篡改。如何解決這兩個問題呢？方法就是開發者對Apk進行簽名：在Apk中寫入一個「指紋」。指紋寫入以後，Apk中有任何修改，都會導致這個指紋無效，Android系統在安裝Apk進行簽名校驗時就會不通過，從而保證了安全性。

要了解如何實現簽名，需要了解兩個基本概念：數字摘要和數字證書。

簡單來說，就是對一個任意長度的數據，通過一個Hash演算法計算後，都可以得到一個固定長度的二進制數據，這個數據就稱為「摘要」。摘要具有下面的幾個特徵：

前面已經說到，可以通過簽名來確保數據來源的可靠性和數據的不可篡改性。簽名就是在摘要的基礎上再進行一次加密，對摘要加密後的數據就可以當作數字簽名，在安裝Apk需要對簽名進行驗證，驗證通過才能繼續安裝。

這里有兩個過程：簽名過程 和 校驗過程。

先來說 簽名過程：

再來看 校驗過程：

這里有一個前提：接收方必須要知道發送方的公鑰和所使用的演算法。如果數字簽名和公鑰一起被篡改，接收方無法得知，還是會校驗通過。如何保證公鑰的可靠性呢？答案是數字證書，數字證書是身份認證機構（Certificate Authority）頒發的，包含了以下信息：

接收方收到消息後，先向CA驗證證書的合法性（根據證書的簽名、綁定的域名等信息。CA機構是權威的，可以保證這個過程的可靠性。）再進行簽名校驗。

需要注意的是，Apk的證書通常的自簽名的，也就是由開發者自己製作，沒有向CA機構申請。Android在安裝Apk時並沒有校驗證書本身的合法性，只是從證書中提取公鑰和加密演算法，這也正是對第三方Apk重新簽名後，還能夠繼續在沒有安裝這個Apk的系統中繼續安裝的原因。

我們在對Apk簽名時並沒有直接指定私鑰、公鑰和數字證書，而是使用keystore文件，這些信息都包含在了keystore文件中。根據編碼不同，keystore文件分為很多種，Android使用的是Java標准keystore格式JKS(Java Key Storage)，所以通過Android Studio導出的keystore文件是以.jks結尾的。

keystore使用的證書標準是X.509，X.509標准也有多種編碼格式，常用的有兩種：pem（Privacy Enhanced Mail）和der（Distinguished Encoding Rules）。jks使用的是der格式，Android也支持直接使用pem格式的證書進行簽名，我們下面會介紹。

兩種證書編碼格式的區別：

X.509證書格式：

Android提供了兩種對Apk的簽名方式，一種是基於JAR的簽名方式，另一種是基於Apk的簽名方式，它們的主要區別在於使用的簽名文件不一樣：jarsigner使用keystore文件進行簽名；apksigner除了並尺支持使用keystore文件進行簽名外，還支持直接指定pem證書文件和私鑰進行簽名。

不知道大家有沒有注意一個問題，我們通過櫻御keytool或者AS生成一個keystore的時候（ 簽署您的應用 ），除了要輸入keystore的密碼外，還要輸入一個alias和key的密碼。在簽名時，除了要指定keystore文件和密碼外，也要指定alias和key的密碼，這是為什麼呢？

原因是keystore是一個密鑰庫，也就是說它可以存儲多對密鑰和證書，keystore的密碼是用於保護keystore本身的，一對密鑰和證書是通過alias來區分的。從這里可以看出jarsigner是支持使用多個證書對Apk進行簽名的。apksigner也同樣支持，關於apksigner的使用介紹可以參考官方文檔 apksigner 。

ok，簽名的基本概念和校驗過程就介紹到這里，關於JAR簽名和V2簽名機制的詳細介紹，參考下面兩篇文章：

『陸』 Android中APK簽名工具之jarsigner和apksigner詳解

轉自 https://www.cnblogs.com/slysky/p/9780015.html

一.工具介紹

jarsigner是JDK提供的針對jar包簽名的通用工具,

位於JDK/bin/jarsigner.exe

apksigner是Google官方提供的針對Android apk簽名及驗證的專用工具,

位於Android SDK/build-tools/SDK版本/apksigner.bat

不管是apk包,還是jar包,本質都是zip格式的壓縮包,所以它們的簽名過程都差不多(僅限V1簽名),

以上兩個工具都可以對Android apk包進行簽名.

1.V1和V2簽名的區別

在Android Studio中點擊菜單 Build->Generate signed apk... 打包簽名有兩種簽名選項 V1(Jar Signature) V2(Full APK Signature),

從Android 7.0開始, 谷歌增加新簽名方案 V2 Scheme (APK Signature);

但Android 7.0以下版本, 只能用舊簽名方案 V1 scheme (JAR signing)

V1簽名:

V2簽名:

V2簽名優點很明顯:

注意: apksigner工具默認同時使用V1和V2簽名,以兼容Android 7.0以下版本

2.zipalign和V2簽名

位於Android SDK/build-tools/SDK版本/zipalign.exe

zipalign 是對zip包對齊的工具,使APK包內未壓縮的數據有序排列對齊,從而減少APP運行時內存消耗

zipalign -v 4 in.apk out.apk //4位元組對齊優化

zipalign -c -v 4 in.apk //檢查APK是否對齊

zipalign可以在V1簽名後執行

但zipalign不能在V2簽名後執行,只能在V2簽名之前執行！！！

二.簽名步驟

1.生成密鑰對(已有密鑰庫,可忽略)

Android Studio在Debug時,對App簽名都會使用一個默認的密鑰庫:

1.生成密鑰對

進入JDK/bin, 輸入命令

參數:

提示: 可重復使用此條命令,在同一密鑰庫中創建多條密鑰對
例如: 在debug.keystore中新增一對密鑰,別名是release

keytool -genkeypair -keystore debug.keystore -alias release -validity 30000

2.查看密鑰庫

進入JDK/bin, 輸入命令

keytool -list -v -keystore 密鑰庫名

參數:

例如:
keytool -list -v -keystore debug.keystore

現在debug.keystore密鑰庫中有兩對密鑰, 別名分別是androiddebugkey release

2.簽名

1.方法一(jarsigner,只支持V1簽名)

進入JDK/bin, 輸入命令

從JDK7開始, jarsigner默認演算法是SHA256, 但Android 4.2以下不支持該演算法,

所以需要修改演算法, 添加參數 -digestalg SHA1 -sigalg SHA1withRSA

參數:

例如:

用JDK7及以上jarsigner簽名,不支持Android 4.2 以下

jarsigner -keystore debug.keystore MyApp.apk androiddebugkey

用JDK7及以上jarsigner簽名,兼容Android 4.2 以下

jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey

2.方法二(apksigner,默認同時使用V1和V2簽名)

進入Android SDK/build-tools/SDK版本, 輸入命令

若密鑰庫中有多個密鑰對,則必須指定密鑰別名

禁用V2簽名

apksigner sign --v2-signing-enabled false --ks 密鑰庫名 xxx.apk

參數:

例如:

在debug.keystore密鑰庫只有一個密鑰對

apksigner sign --ks debug.keystore MyApp.apk

在debug.keystore密鑰庫中有多個密鑰對,所以必須指定密鑰別名

apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk

3.簽名驗證

1.方法一(keytool,只支持V1簽名校驗)

進入JDK/bin, 輸入命令

keytool -printcert -jarfile MyApp.apk (顯示簽名證書信息)

參數:

2.方法二(apksigner,支持V1和V2簽名校驗)

進入Android SDK/build-tools/SDK版本, 輸入命令

apksigner verify -v --print-certs xxx.apk

參數:

例如:

apksigner verify -v MyApp.apk

『柒』 如何判斷 Android 應用的 Apk 簽名是否一致

Android應用的發布形式apk中包含的簽名加密方法除了RSA還有DSA，所以不能只從apk中提取常見的META-INF/CERT.RSA，第一步應該是檢查apk中具體的簽名文件是什麼。
FILE="yourapp.apk"
cert_XSA=`jar tf $FILE | grep SA`
此時得到的cert_XSA可能是META-INF/*.RSA或者META-INF/*.DSA。

接下來從apk中提取具體的簽名文件。
jar xf $FILE $cert_XSA
此時會在當前目錄得到cert_XSA文件。

然後對於得到的簽名文件，提取其中簽名的MD5值
keytool -printcert -file $cert_XSA | grep MD5 > "$FILE.certMD5"
這時候yourapp.certMD5這個文件中就保存了yourapp.apkk中的簽名MD5值。

最後比較兩個app的簽名可以用diff
FILE1="yourapp1.apk"
FILE2="yourapp2.apk"
# ...
# ... 經過上述步驟得到$FILE1.certMD5和$FILE2.certMD5
# ...
certMD5_diff=`diff $FILE1.certMD5 $FILE2.certMD5`
if [ "$certMD5_diff" = "" ]; then
echo "$FILE1.certMD5 == $FILE2.certMD5"
fi
若輸出yourapp1.apk.certMD5 == yourapp2.apk.certMD5那麼這兩個應用的簽名就一致。

『捌』 如何判斷 Android 應用的 Apk 簽名是否一致

FILE="yourapp.apk"
cert_XSA=`jar tf $FILE | grep SA`

此時得到的cert_XSA可能是META-INF/*.RSA或者META-INF/*.DSA。
接下來從apk中提取具體的簽名文件。

jar xf $FILE $cert_XSA

此時會在當前目錄得到cert_XSA文件。
然後對於得到的簽名文件，提取其中簽名的MD5值

keytool -printcert -file $cert_XSA | grep MD5 > "源衫$FILE.certMD5"

這時遲裂好候yourapp.certMD5這個文件中就保存了yourapp.apkk中的簽名MD5值。
最後比較兩個app的簽名可以用diff

FILE1="yourapp1.apk"

作者：王仲禹
鏈接：https://www.hu.com/question/20749413/answer/17436681
來源：知乎
著作權歸作者所有。商業轉載請聯系作者獲碼鉛得授權，非商業轉載請註明出處。

『玖』 Android開發對apk文件進行簽名

對apk簽名的步驟(適用於找回apk,對空包進行簽名)

1.復制java的jdk,bin目錄的絕對路徑(如果是默認安裝應該和我的路徑差不多)C:\Program Files\Java\jdk1.8.0_111\bin

2.進入cmd窗口,進入bin目錄(如果是新手,輸入cd C:\Program Files\Java\jdk1.8.0_111\bin)

輸入命令   jarsigner -verbose -keystore d:\project\360Wallpaper.keystore -signedjar d:\qihusign.apk d:\Qihuunsign.apk QIHU360

將簽名修改成自己簽名的路徑 ,生成的apk文件的名字路徑修改一下,再輸入需要簽名的apk文件路徑,最後輸入自己簽名的別名就可以

(新手,歡迎指正)

『拾』 如何判斷 Android 應用的 Apk 簽名是否一致

可以比對apk簽名的fingerprint。

假定安裝了JDK，如果想查HelloWorld.apk所使用的簽名的fingerprint，可以這樣做：

1. 查找apk里的rsa文件

（Windows）
> jar tf HelloWorld.apk |findstr RSA

（Linux）
$ jar tf HelloWorld.apk |grep RSA

META-INF/CERT.RSA

2. 從apk中解壓rsa文件蠢慧

jar xf HelloWorld.apk META-INF/CERT.RSA

3. 獲取簽名的fingerprints

keytool -printcert -file META-INF/CERT.RSA

...
Certificate fingerprints:
MD5: BC:6D:BD:6E:49:69:2A:57:A8:B8:28:89:04:3B:93:A8
SHA1: 0D:DF:76:F4:85:96:DF:17:C2:68:1D:3D:FF:9B:0F:D2:A1:CF:14:60
Signature algorithm name: SHA1withRSA
Version: 3
...

4. 清理工作，刪除rsa文件

（Windows）
rmdir /S /Q META-INF

（Linux）
rm -rf META-INF

如果你想知道兩個apk是不是用的同一個簽名，那比前悉一下它們簽名的MD5碼（或SHA1碼）是不是帶悔答一樣就行了。