# 无懈可击Android内部更新

因为本人文笔不好，本篇文章只记录公司项目内部更新的少量关键节点以及遇到的少量问题，有些人认为app升级有什么难的，请看完本篇文章大家能否遇到了这些问题。

一、普通更新

普通更新大家很好了解，就是正常的对话框提醒能否需要升级，有少量升级文案，两个按钮，“是”转到后端下载，“取消”取消本次下载。

跳过此版本

假如勾选当前版本不会在提醒更新

对话框显示的规则

每次进入app都显示更新对话框对客户有可能是不友好的，我们可以配置时间多久显示一次

二、强制更新

首先强制更新当然是对客户非常不友好，能少用尽量少用，能不用尽量不用，最好这个功能一次也别用。但是这个功能是必不可少的，大家考虑如下几个问题：

1.app更换接口

app更换接口大家都觉得不可能，但是现实当中的确存在，如果我们金融行业，一个重要的接口报出安全风险，或者者这个接口被盗刷客户信息，这是致命的。因为我们的url在app内部都是写死的，想要修改只能通过强制升级，废弃老接口，使用新接口，这样才能保证所有客户的信息安全。

2.app更换内置证书

在金融行业很多app或者者关键路径的网络传输都是https双向加密的，也就是app本地也会写死ca证书来进行校验，但是服务器证书，域名证书都是有实用年限的。
如果ca证书有效期是2年，我们会在1.5年的时候在app中添加下一个证书例如app版本是v2.0.0，经过几个版本的迭代，在后端观察90%以上的活跃客户都更新到v2.0.0以上的时候，我们会将所有低于v2.0.0的用户端强制更新到v2.0.0版原本保证用户端可用。

强制升级不是只能强制升级到最高版本，而是根据后端配置的versioncode来升级到指定的版本。
例如：当前最新版本是v3.0.0，90%的客户已经是v2.0.0，我们可以在后端配置所有低于v2.0.0的客户一律都强制更新到v2.0.0否则不可用。

三、App更新接口

app更新一般有两个接口：

1.appupload

用于返回app升级信息以及升级版本

2.appdownload

用于下载app的apk

因为android p 以上的接口访问必需都是https形式的，我建议这两个接口不使用双向加密，以及信任所有ca证书，保证这两个接口不受任何影响只需有网络即可以返回信息进行版本升级。
大家考虑如下场景：
客户app更新到v1.9.0之后就在也没打开过app，我们在v2.0.0 app添加了下一个证书，app v3.0.0的时候将所有低于v2.0.0客户强制升级到v2.0.0且服务端替换了最新的证书（因为服务器只能替换证书而不是像用户端可以新添加证书来做兼容），那么假如升级接口也是双向加密的当客户打开v1.9.0他将无法升级而且app也无法使用，只能删除重新下载，当客户删除我们的app的时候我们将90%以上失去这个客户。

四、备选更新方案

为什么要有备选更新方案，假设线上app升级板块挂了，会出现什么情况，将是灾难性的所有客户都无法在app内部升级，android客户使用内部升级的比例相当大这是不可接受的。
有人会说这个几率非常小，在我看来非常小仍然是有几率，假如这个小概率时间出现了将是最为严重的线上事故，比出现任何一个崩溃bug都要严重。所以我们要有万无一失的升级机制。
备选更新方案目前来说是在appupload接口中下发标识跳转到android内部下载机制如下代码

 Uri uri = Uri.parse(target.getUrl()); Intent intent = new Intent(Intent.ACTION_VIEW, uri); mContext.startActivity(intent);

总结

app内部升级假如出现问题属于单点故障。高可用性或者者高可靠度的系统不会希望有单点故障造成整体故障的情形。一般可以透过冗余的方式添加多个相同机能的部件，只需这些部件没有同时失效，系统（或者至少部分系统）仍可运作，这会让可靠度提高。以上就是无懈可击Android内部更新板块的设计思路，代码有空在撸，这里只写原理。