美文网首页
JSPatch的使用

JSPatch的使用

作者: 嘹亮的浩哥 | 来源:发表于2016-07-04 18:01 被阅读553次

    1, JSPatch热更新

    众所周知,AppStore 上发布需要有个一非常恶心的审核期,而且很可能被拒绝掉,发布或者迭代一个 App一般耗时是5-10个工作日.但是如果线上版本出现了一些问题,或者公司市场部突然要做某些活动,这就会让 iOS 的程序员手忙脚乱.现在市场上很多大公司比如淘宝,58同城等都采用了 OC 和 HTML5 混编方法处理我说的那几个问题, 这是现在最好的热更新解决方案 ,但是 iOS 程序员去写 H5有点不现实

    2,为什么能热更新,原理

    能做到通过JS调用和改写OC方法最根本的原因是 Objective-C 是动态语言,OC上所有方法的调用/类的生成都通过 Objective-C Runtime 在运行时进行,我们可以通过类名/方法名得到相应的类和方法,进一步用 js 的代码来代替实现方法.
    JSPatch用iOS内置的JavaScriptCore.framework作为JS引擎,但没有用它JSExport的特性进行JS-OC函数互调,而是通过Objective-C Runtime,从JS传递要调用的类名函数名到Objective-C,再使用NSInvocation动态调用对应的OC方法。

    3,优缺点

    1>.JS语言
    JS比Lua在应用开发领域有更广泛的应用,目前前端开发和终端开发有融合的趋势,作为扩展的脚本语言,JS是不二之选。
    2>.符合Apple规则
    JSPatch更符合Apple的规则。iOS Developer Program License Agreement里3.3.2提到不可动态下发可执行代码,但通过苹果JavaScriptCore.framework或WebKit执行的代码除外,JS正是通过JavaScriptCore.framework执行的。
    3>.小巧
    使用系统内置的JavaScriptCore.framework,无需内嵌脚本引擎,体积小巧。
    4>.支持block
    wax在几年前就停止了开发和维护,不支持Objective-C里block跟Lua程序的互传,虽然一些第三方已经实现block,但使用时参数上也有比较多的限制。
    风险
    JSPatch让脚本语言获得调用所有原生OC方法的能力,不像web前端把能力局限在浏览器,使用上会有一些安全风险:
    1>.若在网络传输过程中下发明文JS,可能会被中间人篡改JS脚本,执行任意方法,盗取APP里的相关信息。可以对传输过程进行加密,或用直接使用https解决。
    2>.若下载完后的JS保存在本地没有加密,在未越狱的机器上用户也可以手动替换或篡改脚本。这点危害没有第一点大,因为操作者是手机拥有者,不存在APP内相关信息被盗用的风险。若要避免用户修改代码影响APP运行,可以选择简单的加密存储。

    4,如何使用

    jspatch官方网站

    1,注册账号,以及app,会生成一个appkey
    2,导入框架和依赖项和AppDelegate

    在该平台下载SDK解压后将JSPatch.framework拖入项目
    添加依赖框架libz.dylib和JavaScriptCore.framework
    1中startWithAppKey传入平台申请的appKey,启动JSPatch SDK,同时会自动执行已下载到本地的patch.
    2中sync与JSPatch平台后台更新,询问是否有patch更新,如果有更新会自动下载并执行。startWithAppKey并不会询问后台patch更新,必须调用sync方法。注意:**实时性不高的App只需在didFinishLaunchingWithOptions处调用一次,用户启动时就会同步patch信息;实时性要求高的App,在applicationDidBecomeActive处调用,用户每次唤醒App时就同步一次后台

    在AppDelegate.m的didFinishLaunchingWithOptions中添加如下代码:
        //添加头文件
        #import <JSPatch/JSPatch.h>
        //1
        [JSPatch startWithAppKey:JSPatchKey] //JSPatchKey是创建App获得的AppKey
        //2
        [JSPatch sync]
    
    3,测试本地脚本

    在上线之前需要对脚本进行本地测试查看运行是否正常,注意JSPatch平台规范,JS脚本文件名必须是main.js。SDK提供了方法+testScriptInBundle用于发布前测试,调用该方法后,JSPatch会在当前项目的bundle寻找main.js。
    注意:+testScriptInBundle不能与+startWithAppKey一起调用,+testScriptInBundle只能用于本地测试,测试完需删除

    4,发布版本

    • 添加版本


    • 发布补丁

    5,自定义RSA密钥和安全问题

    为避免js脚本传输过程被中间人篡改,我们需要对js文件进行RSA签名加密,具体流程:
    服务端
    计算js文件MD5值
    用RSA私钥对MD值加密,与JS文件一起下发给客户端
    客服端
    拿到加密数据,用RSA公钥解密出MD5值
    本地计算返回的js文件MD5值
    对比2个MD5值,相等则校验通过,保存JS文件到本地
    当保存到本地时,越狱机器会有点风险,我们可以通过对称加密保存,然后读取时解密。

    客户端和JSPatch后台默认有一对RSA密钥,默认会对这对密钥进行加解密验证。也可以自定义RSA密钥。

    6,自定义RSA密钥

    生成RSA密钥。在终端输入下列代码后再当前目录就有rsa_private_key.pem和rsa_public_key.pem。密钥长度可选1024/2048/3072/4096...

    openssl > genrsa -out rsa_private_key.pem 1024 pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
    
    

    2,SDK设置RSA Public Key。客户端接入SDK后调用+setupRSAPublicKey:
    设置定义的RSA Public Key,必须在+sync
    之前调用。Public Key以字符串方式传入,换行处需要手动加换行符。

    3,使用Private Key下发脚本。下发脚本时勾选使用自定义RSA Key 选项,选择本地的rsa_private_key.pem与脚本一起上传。JSPatch平台使用上传的Private Key对脚本MD5值进行加密,然后下发客户端。客户端通过第二部设置的Public Key对脚本进行验证,通过则运行。注意:上传的rsa_private_key.pem只是一次性使用,用户必须保存rsa_private_key.pem文件

    7,Objc代码转JS代码

    JSPatch 的 OC 代码转化
    JSPatch基础用法
    JSPatch官网
    JSPatch文档
    demo地址

    相关文章

      网友评论

          本文标题:JSPatch的使用

          本文链接:https://www.haomeiwen.com/subject/caacjttx.html