当前位置：首页 > news >正文

android apk文件的签名问题

news 2026/6/2 7:16:39

android的APK文件实际上是一个jar文件。jar的意思是瓶、罐，那就意味着jar文件是一个用来存放android应用相关文件的容器。事实上，它也确实如此，它只是一个带或不带压缩的zip文件，当你把.apk后缀改成.zip后，就能对此进行解压了。用java写的不同类型应用都会使用jar来存储它们的文件。jar有一些特殊的结构。

参考：KeyStore文件

1. 编译一个未签名的apk文件

P2PIM % gradlew :app:assembleRelease

我们将在下面的路径找到未签名的apk文件app-release-unsigned.apk：

app/build/outputs/apk/release/app-release-unsigned.apk

2.用.jks对apk进行签名

// --ks 从初始化好的KeyStore加载私钥和证书链，KeyStore的初始化是基于指定的.jks文件的% ./apksigner sign --ks kyunban.jks --out app-release-signed.apk app-release-unsigned.apk
Keystore password for signer #1:

输入.jks的保护密码，就可以完成签名:

 % ls
app-release-signed.apk

apksigner

apksigner对给定的apk文件进行签名，它会剥离任何先前存在的签名。
换句话说，当将要进行签名的apk已经签过名了，那么apksigner会把已存在的签名先删除掉，再进行重新签名。

使用一个或多个签名者执行，每个签名者由一个非对称密钥表示
Pair和对应的证书。通常，APK只由一个人签名
签名者。对于每个签名者，需要提供签名者的私钥和
证书。

签名是由一个或多个签名者来完成的，就像一份重要的文件一样，可能是由一个重要的人来签名即可，也可能需要好几个重要的人来共同签名才能有效。在计算机里的签名也是一样的，首先是选择非对称密钥对和相应的证书来完成。私钥是掌握在签名者自己手中，另人是没有的。证书是用来传输对应的公钥。因为私钥加密的内容只能用其公钥来解密，又因私钥只掌握在签名者自己手中，因此就构成了签名者无法抵赖签名的事实。因此签名者都是要用各自的私钥来进行签名的。

在Android领域，要对apk文件进行签名时，只能用一个签名者的私钥来签名，它不能够联名签名。所以对已签名的apk文件进行重新签名时，它会先把先前的签名剥离掉先，再签名。

所以要对apk签名，签名者必须提供私钥和证书，证书中有私钥对应的公钥。

.jks只是一份存放了相应的私钥、公钥和证书的地方，其实，也可以用类似.jks文件来对apk文件进行签名，apksigner支持的就行，这里列举一些签名的例子：

只用keystore文件kyunban.jks中的私钥进行签名：

// 如果不通过--out指定新的文件名，签名的文件也就是app.apk，覆盖掉原先未签名的文件
$ apksigner sign --ks kyunban.jks app.apk

只用keystore文件kyunban.jks中的私钥进行签名，签名的文件不覆盖原来未签名的文件

$ apksigner sign --ks kyunban.jks --in app.apk --out app-signed.apk

通过.pk8文件中的私钥和证书文件中的证书链一起签名，注意这里要求证书文件格式必须是X.509 PEM 或 DER 格式:

$ apksigner sign --key release.pk8 --cert release.x509.pem app.apk

用两个私钥对apk文件进行签名

$ apksigner sign --ks release.jks --next-signer --ks magic.jks app.apk

如果签名时，.jks用的密码字符不是ASCII编码，那么需要通过--pass-encoding指定密码的字符集，这样就可以使用非ASCII编码的密码了。

$ apksigner sign --ks release.jks --pass-encoding ibm437 app.apk

使用 Java Crypto Architecture (JCA) （Java加密体系）签名apk文件，典型的就是用PKCS #11的提供者来签名，这些提供者的类文件要提前安装好，确保在命令行中能够访问到它们：

// --provider-class指定签名的提供者
// --provider-arg指定参数文件，这些参数是传给--provider-class指定的类的
// --ks NONE 不需要keystore文件来提供私钥，这种签名用的是PKCS #11密钥库，即PKCS #11的keystore。
// --key-type指定密钥库即keystore使用的类型或算法，没有指定就用默认的。这里用PKCS11算法
$ apksigner sign --provider-class sun.security.pkcs11.SunPKCS11 --provider-arg token.cfg --ks NONE --ks-type PKCS11 app.apk

用轮换签名证书签名apk文件，这个签名方案只在v3中支持。这种签名方式中，签名的历史记录会被使用到。本次签名用到的证书，与上次是不同的。--lineage指定的就是这个历史记录，这是用apksigner的rotate命令创建的。这个命令的作用就是添加一个新的签名证书到SigningCertificateLineage这个对象。如果使用这种方式签名的话，所有的签名者都必须在signing lineage中。估计比较少人用这种，但无疑它更加安全。

$ apksigner sign --ks release.jks --next-signer --ks release2.jks --lineage /path/to/signing/history/lineage app.apk

android apk文件的签名问题

1. 编译一个未签名的apk文件

2.用.jks对apk进行签名

apksigner

相关文章：

android apk文件的签名问题

ATTCK视角下的信息收集：主机发现

Redis 主从、哨兵和分片集群简单介绍

群晖NAS+DMS7.0以上版本+无docker机型安装zerotier

Pinia持久化存储插件 pinia-plugin-persist

链家JAVA笔试题

当试图回复传入消息时，消息应用程序会闪烁

Hubery-个人项目经历记录

Ubuntu18.04 安装 qt 5.15.2

【Linux Shell】6. echo 命令

Dell 机架式服务器 - 高级定制服务

C++ 中关键字 Static

系统学习Python——警告信息的控制模块warnings：警告过滤器-[重写默认的过滤器]

C++力扣题目-- 二叉树层序遍历

前端实现回车键触发搜索

k8s yaml文件pod的生命周期

MPEG4Extractor

我在工作一年时怎么都看不懂的编程写法。今天手把手教给你

ThinkPHP5多小区物业管理系统源码(支持多小区)

2024 年 API 安全：预测和趋势

【DeepSeek-R1代码相似度引擎解密】：3层语义比对机制、Token归一化偏差修正与Jaccard阈值黄金分割点

DeepSeek系统设计辅助效能断崖式下降的3个信号，第2个90%工程师至今未察觉！

AI智能体到底强在哪？为什么大家开始从“养龙虾”转向“养马”

飞书远程控机：OpenClaw配置全攻略

美团外卖mtgsig与waimai_sign双层签名逆向解析

Taotoken平台快速获取APIKey并开始你的第一个Python调用示例

Python UiAutomation实战：从网页数据抓取到桌面应用，一个库打通数据采集全链路

具身智能：面向新兴交叉学科建设的思考与建议 2026

【审计专栏】【财务领域】第四十九篇人在企业中的核心资产和核心利益01

基于PIC32单片机实现Android USB音频转SPDIF输出的DIY方案