android 安装包签名问题探究

1.首先先科普一下，android为什么需要给安装包签名：

所有的Android应用程序在发布之前都要求开发人员用一个证书进行数字签名，anroid系统不会安装没有进行签名的由于程序。
    平时我们的程序可以在模拟器上安装并运行，是因为在应用程序开发期间，由于是以Debug面试进行编译的，因此ADT根据会自动用默认的密钥和证书来进行签名，而在以发布模式编译时，apk文件就不会得到自动签名，这样就需要进行手工签名。

给apk签名可以带来以下好处：
    1. 应用程序升级：如果你希望用户无缝升级到新的版本，那么你必须用同一个证书进行签名。这是由于只有以同一个证书签名，系统才会允许安装升级的应用程序。如果你采用了不同的证书，那么系统会要求你的应用程序采用不同的包名称，在这种情况下相当于安装了一个全新的应用程序。如果想升级应用程序，签名证书要相同，包名称要相同！
    2.应用程序模块化：Android系统可以允许同一个证书签名的多个应用程序在一个进程里运行，系统实际把他们作为一个单个的应用程序，此时就可以把我们的应用程序以模块的方式进行部署，而用户可以独立的升级其中的一个模块
    3.代码或者数据共享：Android提供了基于签名的权限机制，那么一个应用程序就可以为另一个以相同证书签名的应用程序公开自己的功能。以同一个证书对多个应用程序进行签名，利用基于签名的权限检查，你就可以在应用程序间以安全的方式共享代码和数据了。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

2.什么是重签名，什么情况下需要重签名？如何重签名？

所谓重签名，就是替换掉安装包之前的证书ID以及签名信息，然后重新生成一个新的证书和签名。一般在自动化测试或者想更换安装包内的资源的时候就显得尤为必要。

重签名的方法：
方法一：

1.将apk包改名为.zip 结尾。打开后删除META-INF 文件夹。然后将后缀改回.apk。

2.将新的证书(debug.keystore)复制到与需要重新签名的apk文件相同的目录下（如：复制到D:\Sign）；

3.打开终端，或命令行，进入D:\Sign目录，运行下面的命令
jarsigner -verbose -keystore debug.keystore -storepass android -signedjar PhoneBook_signed.apk -digestalg SHA1 -sigalg MD5withRSA PhoneBook.apk androiddebugkey    /*解释：-jarsigner是Java的签名工具-verbose参数表示：显示出签名详细信息-keystore表示使用当前目录中的debug.keystore签名证书文件-storepass android表示Keystore密码：“android”-signedjar PhoneBook_signed.apk表示签名后生成的APK名称PhoneBook.apk表示未签名的APK Android软件-digestalg SHA1 -sigalg MD5withRSA：这就是必须加上的参数，如果你是jdk 1.6也不受影响-androiddebugkey表示Key别名。

方法二：使用第三方重签名工具。这里不再赘述。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3.如何查看安装包签名信息？

命令行或终端执行  jarsigner -verify -verbose -certs xxx.apk 点击回车即可。