首页

如何在Android中签署AAR工件?

android java gradle aar android-signing
2022-09-03 01:06:25

我目前正在开发一个.AAR android库,我想用我自己的密钥对发布的工件进行签名,这样我就可以确定我的是否发布了具有相同名称和功能的假aar。

通知 1 :

我希望能够以编程方式检查我的库的真实性,即使是假煮的库,也只是伪造了我的aar文件的一部分功能。

通知 2 :

不打算将这个aar发布到maven,sonatype或任何其他公共存储库中。因此,我将针对典型的发布流程(如对 apk 文件进行签名)对其进行签名。


答案 1

您可以使用 对库进行签名,也可用于生成签名密钥。这两个工具都位于Android Studio附带的嵌入式JDK中。执行以下操作对库进行签名。jarsigneraarkeytool

签署

生成具有密钥对的密钥库。您需要提供证书字段:

keytool -genkeypair -alias aarsign -keypass mypassword -keystore aarsign.keystore -storepass mypassword -v

将生成的证书导出到 PEM 文件中:

keytool -exportcert -rfc -alias aarsign -file aarsign-public.pem -keystore aarsign.keystore -storepass mypassword -v

创建包含证书的密钥库:

keytool -importcert -alias aarsign -file aarsign-public.pem -keystore aarsign-public.keystore -storepass mypassword -v

对库进行签名:

jarsigner -keystore aarsign.keystore -storepass mypassword -keypass mypassword -signedjar lib-signed.aar -verbose lib.aar aarsign

验证

任何希望证明库真实性的人都需要以可靠的方式获取您的证书(或带有它的密钥库),然后输入以下命令:

jarsigner -keystore aarsign-public.keystore -storepass mypassword -verify -verbose -certs lib-signed.aar aarsign

它将给出消息

jar verified.

以及一些关于证书过期和签名时间戳的警告。您可以通过创建更严格的证书来消除这些警告。请参阅和文档。keytooljarsigner

有两种方法可以确定您的库是否被篡改:不匹配的摘要或不匹配的证书。如果有人从不同的源代码或不同的资源生成,摘要将不匹配并发出警告,例如:aarjarsigner

jarsigner: java.lang.SecurityException: invalid SHA-256 signature file digest for <file>

而且,如果有人提供的证书与您自己的证书不同,则会发出警告:jarsigner

Warning: 
This jar contains entries whose certificate chain is not validated.
This jar contains signed entries which are not signed by the specified alias(es).
This jar contains signed entries that are not signed by alias in this keystore.

答案 2

因为对我不起作用,我用过variant.signingConfig

apply plugin: 'com.android.library'

...

android {
    ...

    signingConfigs {
        release {
            storeFile file("${rootProject.projectDir}/keystore.jks")
            storePassword "XXXX"
            keyAlias "alias"
            keyPassword "XXXX"
        }
    }

    ...
}

tasks.whenTaskAdded { task ->
    if (task.name == 'assembleRelease') {
        def aarPath = "${project.buildDir}/outputs/aar/XXX-release.aar"

        task.doLast {
            ant.signjar(
                    alias: android.signingConfigs.release.keyAlias,
                    jar: aarPath,
                    keystore: android.signingConfigs.release.storeFile,
                    storepass: android.signingConfigs.release.storePassword,
                    keypass: android.signingConfigs.release.keyPassword,
                    preservelastmodified: 'true')

            ant.verifyjar(
                    alias: android.signingConfigs.release.keyAlias,
                    jar: aarPath,
                    keystore: android.signingConfigs.release.storeFile,
                    storepass: android.signingConfigs.release.storePassword,
                    keypass: android.signingConfigs.release.keyPassword)
        }
    }
}

推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »