iOS 签名机制包括各种证书:Provisioning Ptofile 、entitlements、CertificateSigningRequest、p12、AppID等。
签名(非对称加密RSA)
通常我们说的签名就是数字签名,它是基于非对称加密算法实现。对称加密是通过同一份密钥加密和解密数据,而非对称加密则有两份密钥,分别是公钥和私钥,用公钥加密数据,要用私钥才能解密,用私钥加密的数据,要用公钥才能解密,这里不再累赘RSA,如果有感兴趣的同学可以看一看(RSA原理一、RSA原理二)。
数字签名的作用是我对某一份数据打个标记,表示我认可了这份数据(签个名),
App Store下载的签名机制
iOS 系统采用的均是非对称加密。
当 App 提交审核通过后,Apple 会对 App 进行重签名。因此,从 App Store 下载的 App ,统一都是苹果的官方签名。验证机制也较为简单。
Apple 官方保存着私钥,在App提交审核通过后,会通过私钥对其进行重签名;
iOS 系统内置公钥,用户从 App Store 下载 App ,iOS 系统通过公钥对其进行签名验证;
验证通过,则说明该 App 是经过苹果认证的,未经篡改的,允许运行,否则,拒绝运行。
image
XCode开发的签名机制
在 XCode 中开发时,用的是开发证书。需要针对不同的开发者账号进行验证,签名机制较为复杂。
开发者身份验证
在 Apple Developer 生成证书时,为了验证开发者身份,需要在本地 keychain 中生成公私钥,公钥保存在 CertificateSigningRequest 文件中,上传到 Apple Developer ,私钥如果需要给其他开发者用,可以导出为 .p12 文件。
生成证书
Apple Developer 后台接收到开发者公钥后,利用 Apple 的私钥对其进行签名,生成证书cer。
验证设备
除了验证开发者身份,还需要验证 AppID 和设备的 UUID , 权限控制 Entitlements 等,把这些信息和上面生成的证书一起,再用 Apple 的私钥进行一次签名,生成最终的 mobileprovision 文件。
image
签名 App
在XCode编译后,生成 App 文件时,会对其通过开发者私钥进行签名,将 mobileprovision 文件命名为 embedded.mobileprovision 并将其打包到 App 文件中。
在通过开发者私钥签名 App 时,对于可执行文件( Mach-O ),会将签名直接写入到该文件中,而对于其他的资源文件,会统一写到 _CodeSignature 文件下的 CodeResources 文件中。
image
CodeResources 文件的格式:
image
验证签名
在安装 App 文件时,首先通过 iOS 系统内置的 Apple 公钥对上面的签名进行验证,包含开发者共私钥匹配,设备 ID,App ID,权限控制 Entitlements ,证书有效期验证等。
image
image.jpeg
image.png
app分发
三种开发者账号:
个人账号:99/appstore上架/设备上限100
企业账号:299$ /不能appstore上架/不限制设备(没有验证过)
打包模式:
App Store Deployment: 需要添加UUID/上架appstore
Ad Hoc Deployment: 需要添加UUID/内部测试/distribution证书
Enterprise Deployment: 不需要添加UUID/企业内部应用/企业证书
Development Deployment: 需要添加UUID/开发调试/developer证书
ipa包:
如果只是方便内部测试的分发,用个人/公司账号/发布到Ad Hoc Deployment/Development Deployment打出来的ipa
如果是企业内部应用/绕开苹果审核而发布的应用,就必须用企业账号/发布到Enterprise Deployment打出来的ipa
manifest.plist
https协议服务器(iOS7.1以前的版本支持http协议)
网友评论