现在Android项目的构建几乎都使用Gradle,Gradle提供了命令行打包,通过执行任务的方式,操作起来很方便。
通常Gradle打包的方式
比如通常我们会如下这般处理:
signingConfigs{
release{
storeFile file("/xxx.jks")
storePassword "111"
keyAlias "demo"
keyPassword "222"
}
}
productFlavors {
yingyongbao {
//根据渠道需要配置参数
}
}
这里我假设需要打应用宝的渠道包,在命令行窗口,或者直接在AS的Terminal窗口,进入到项目根目录,使用Gradle命令行打包:
./gradlew assembleYingyongbaoRelease
如果团队里有人用了Window系统提交,第一次使用Mac系统提交,很可能会遇到Permission Denied问题,解决办法:我的上一篇博文当Window遇到Mac OS出现Permission Denied/Could not expand时
更安全Gradle打包的方式
上述方式打包是成功的,但是这里存在安全性问题:
- 安全隐患一:签名文件jks默认放在模块目录里,连同代码一起提交到服务器上,如果团队使用第三方的提交后台,安全隐患明显
- 安全隐患二:签名的密码,别名等内容直接暴露在build.gradle文件里
基于上述的考虑,下面是更安全的打包签名配置:
signingConfigs {
release {
storeFile file(RELEASE_SIGNING_FILE)
storePassword RELEASE_STORE_PASSWORD
keyAlias RELEASE_KEY_ALIAS
keyPassword RELEASE_KEY_PASSWORD
}
}
在项目根目录gradle.properties文件里,存放签名信息
RELEASE_SIGNING_FILE = ../../xxx.jks
RELEASE_STORE_PASSWORD = 111
RELEASE_KEY_ALIAS = demo
RELEASE_KEY_PASSWORD = 222
然后在.gitignore文件里添加一条语句(不提交gradle.properties文件到服务器)
gradle.properties
安全分析
通过相对路径,我们把签名文件放在模块目录上二级,即和项目目同级,解决了安全隐患一
利用了gradle.properties文件里的键值对信息能直接在build.gradle中引用的方式,解决了安全隐患二
其他团队成员第一次使用这种配置打包的时候,需要本地更新自己的gradle.properties内容。
小结
上述安全的Gradle打包,有一个前提是允许项目里的gradle.properties文件不上传到服务器。有的团队,安卓项目因为一些特殊原因非得需要上传gradle.properties文件呢?那就只有自己新建一个.gradle文件存储签名信息了,详见kevin_nazgul的android签名文件存放的另一种方式
参考资料:
- Gradle for Android By Kevin Pelgrims
- stackoverflow:How to create a release signed apk file using Gradle?
网友评论