苹果签名机制以及分发原理

2021-04-15 09:21:11 浏览次数: 40

苹果签名机制涵盖了各种证书,多达很多种,例如Provisioning Ptofile 、CertificateSigningRequest、AppID等。

签名(非对称加密RSA)

通常我们说的签名就是数字签名,它是基于非对称加密算法实现。对称加密是通过同一份密钥加密和解密数据,而非对称加密则有两份密钥,分别是公钥和私钥,用公钥加密数据,要用私钥才能解密,用私钥加密的数据,要用公钥才能解密,这里不再累赘RSA,如果有感兴趣的同学可以看一看(RSA原理一、RSA原理二)。

数字签名的作用是我对某一份数据打个标记,表示我认可了这份数据(签个名),

App Store下载的签名机制

iOS 系统采用的均是非对称加密。

当 App 提交审核通过后,Apple 会对 App 进行重签名。因此,从 App Store 下载的 App ,统一都是苹果的官方签名。验证机制也较为简单。

Apple 官方保存着私钥,在App提交审核通过后,会通过私钥对其进行重签名;

iOS 系统内置公钥,用户从 App Store 下载 App ,iOS 系统通过公钥对其进行签名验证;

验证通过,则说明该 App 是经过苹果认证的,未经篡改的,允许运行,否则,拒绝运行。

XCode开发的签名机制

在 XCode 中开发时,用的是开发证书。需要针对不同的开发者账号进行验证,签名机制较为复杂。

开发者身份验证

在 Apple Developer 生成证书时,为了验证开发者身份,需要在本地 keychain 中生成公私钥,公钥保存在 CertificateSigningRequest 文件中,上传到 Apple Developer ,私钥如果需要给其他开发者用,可以导出为 .p12 文件。

生成证书

Apple Developer 后台接收到开发者公钥后,利用 Apple 的私钥对其进行签名,生成证书cer。

验证设备

除了验证开发者身份,还需要验证 AppID 和设备的 UUID , 权限控制 Entitlements 等,把这些信息和上面生成的证书一起,再用 Apple 的私钥进行一次签名,生成最终的 mobileprovision 文件。

签名 App

在XCode编译后,生成 App 文件时,会对其通过开发者私钥进行签名,将 mobileprovision 文件命名为 embedded.mobileprovision 并将其打包到 App 文件中。

在通过开发者私钥签名 App 时,对于可执行文件( Mach-O ),会将签名直接写入到该文件中,而对于其他的资源文件,会统一写到 _CodeSignature 文件下的 CodeResources 文件中。

CodeResources 文件的格式:

验证签名

在安装 App 文件时,首先通过 iOS 系统内置的 Apple 公钥对上面的签名进行验证,包含开发者共私钥匹配,设备 ID,App ID,权限控制 Entitlements ,证书有效期验证等。

app分发

三种开发者账号:

个人账号:99/appstore上架/设备上限100 公司账号:99/appstore上架/设备上限100

企业账号:299$ /不能appstore上架/不限制设备(没有验证过)

打包模式:

App Store Deployment: 需要添加UUID/上架appstore

Ad Hoc Deployment: 需要添加UUID/内部测试/distribution证书

Enterprise Deployment: 不需要添加UUID/企业内部应用/企业证书

Development Deployment: 需要添加UUID/开发调试/developer证书

ipa包:

如果只是方便内部测试的分发,用个人/公司账号/发布到Ad Hoc Deployment/Development Deployment打出来的ipa

如果是企业内部应用/绕开苹果审核而发布的应用,就必须用企业账号/发布到Enterprise Deployment打出来的ipa

manifest.plist

https协议服务器(iOS7.1以前的版本支持http协议)


以上就是小编分享的内容,希望能为您带来帮助。更多详情请关注 app分发:www.fir.cc