App 签名过期或者泄露怎样办？别担心，Google 已经给出处理方案！

原文：承香墨影

一、序

在将 App 发布到市场之前，很重要的一个步骤就是为 APK 进行签名，大部分时候，这个操作隐藏在了打包的流程中，而不被我们注意到。

签名的作用，除了证实 App 的所有权之外，还可以帮助 Android 市场和设施校验 APK 的正确性。

Android 的签名是自证实的，并不会对证书进行 CA 认证。也就是我们可以使用工具自行生成签名证书，只需是一个格式正确的签名，系统就会承认，并且允许安装。

生成签名的时，可以指定一个有效时间，这个时间默认为 25 年，并且 Google Play 也有硬性规定，上架的 App 签名有效期必需在 2033-10-22 日期之后。所以只需不是手欠修改了这个有效期，在当下这个时刻，是不会有问题，毕竟到现在还没有一款 App 存在 25 年。

有些问题不在眼前，却是真实存在的。对于一款上架的 App，最重要的就是客户，而当签名失效之后，我们只能被迫替换签名，此时由于签名校验无法通过，就会导致旧客户无法覆盖安装。这些历史客户唯一的选择，就是卸载后重新安装。

好在这不仅仅是你我的问题，天塌下来有个子高的顶着，所以别担心，Google 已经着手在处理这个问题了。

方案就是 Android 9.0 新添加的对 APK V3 签名的支持。

二、新的签名方案 V3

2.1 Android 的签名方案

Android 的签名方案，发展到现在，不是一蹴而就的。Android 现在已经支持三种应用签名方案：

• V1 方案：基于 JAR 签名。

• V2 方案：APK 签名方案 V2，在 Android 7.0 引入。

• V3 方案：APK 签名方案 V3，在 Android 9.0 引入。

V1 到 V2 是颠覆性的，为理解决 JAR 签名方案的安全性问题，而到了 V3 方案，其实结构上并没有太大的调整，可以了解为 V2 签名方案的更新版，有少量资料也把它称之为 V2+ 方案。

由于这种签名方案的更新，本身就是向下兼容的，所以只需使用得当，这个过程对开发者是透明的。

V1 到 V2 方案的更新，对开发者影响最大的，就是渠道签订的问题。在当下这个大环境下，我们想让不同渠道、市场的安装包有所区别，携带渠道的唯一标识，这就是我们俗称的渠道包。

好在各大厂都开源了自己的签渠道方案，例如：Walle（美团）、VasDolly（腾讯）都是非常优秀的方案，想理解的可以先看看之前的文章：《Android 签名和多渠道打包原理》。

2.2 签名的历史

先从 Android 签名的历史讲起。

在上个世纪 80 年代，Phil Katz 创立了 ZIP 格式，可以将文件和少量元数组，组合在一个文件中，便于传输和存档，该格式是为理解决压缩、校验和冗余头等问题而提出的处理方案。

Sum 公司在上世纪 90 年代，将 ZIP 作为 JAR 格式的基础，而 JAR 本质上就是一个 ZIP 存档。在其中，META-INF 目录下会包含少量元数据和签名数据等信息。

Android 出现后，也沿用了 Java 的 JAR 的发布方式，将 APK 建立在 JAR 格式之上，在此基础上对 Dalvik 字节码 classes.dex 和资源 resources.arsc 等文件增加更多标准化的结构。当时 Android 的 APK 完全依赖 JAR 的签名方案来确保应用程序的正确性，这就是我们俗称的 V1 方案（JAR 方案）。

在 V1 签名方案中，并不会保护 APK 内的所有文件，会存在少量例外部分，即使被修改也不会导致签名失效，例如：ZIP 元数据。同时，V1 方案对 APK 内部被保护的原始文件，是单独进行计算数据摘要的，所以在验证时，需要先解压再验证，导致安装时会花费更多的时间，消耗更多的内存。

例如 V1 方案中签渠道的方式就是利用了此特性，将渠道信息写入 META-INF 文件中，这不会破坏 V1 签名。

多年后，在 Android 7.0 中增加了一种新的签名方式，就是我们俗称的 V2 方案。V2 签名提供了更强大的 APK 文件验证，它不再检查包内单个文件，而是检查整个 APK。它在 ZIP 文件中，插入一个额外的签名块，覆盖 ZIP 文件中的其他部分。

在这个额外的签名块（Apk Signature Block V2）中，会对当前 APK 的其余部分签名。

从安全的角度 V2 会比 V1 更安全，V2 签名是验证整个打包后的 APK 文件，所以对其 APK 文件做“任何”改动都会破坏签名。注意这里的任何是带引号的，V2 签名的签名块其实是一个 K-V 的结构，可以向其中插入少量简单的数据而不破坏 V2 签名，这就是 V2 方案下，多渠道的方案思路。

在引入 V2 方案的同时，也保证了向后兼容，旧的 JAR 签名方案依然在旧的设施（Android 7.0 以下）中生效，而在较新的设施上，也会判断能否使用 V2 签名，不是则仍然会去校验 V1 签名。

V2 方案处理了安全问题以及安装时验证的效率问题，但是它并没有处理前面提到的换签名问题。

2.3 Android 的 V3 方案

Android 9.0 中引入了新的签名方式，它的格式大体和 V2 相似，在 V2 插入的签名块（Apk Signature Block V2）中，又增加了一个新快（Attr块）。

在这个新块中，会记录我们之前的签名信息以及新的签名信息，以密钥转轮的方案，来做签名的替换和更新。这意味着，只需旧签名证书在手，我们即可以通过它在新的 APK 文件中，更改签名。

V3 签名新添加的新块（attr）存储了所有的签名信息，由更小的 Level 块，以链表的形式存储。

其中每个链表节点都包含用于为之前版本的应用签名的签名证书，最旧的签名证书对应根节点，系统会让每个节点中的证书，为列表中下一个证书签名，从而为每个新密钥提供证据来证实它应该像旧密钥一样可信。

这个过程有点相似 CA 证书的证实过程，已安装的 App 的旧签名，确保覆盖安装的 APK 的新签名正确，将信任传递下去。

2.4 V3 签名的验证过程

Android 的签名方案，无论怎样更新，都是要确保向下兼容。

在引入 V3 方案后，Android 9.0 及更高版本中，可以根据 APK 签名方案，V3 → V2 → V1 依次尝实验证 APK。而较旧的平台会忽略 V3 签名并尝试 V2 签名，最后才去验证 V1 签名。

整个验证的过程，如下图：

需要注意的是，对于覆盖安装的情况，签名校验只支持更新，而不支持降级。也就是说设施上安装了一个使用 V1 签名的 Apk，可以使用 V2 签名的 Apk 进行覆盖安装，反之则不允许。

三、总结时刻

Android 签名替换的问题，Google 已经在考虑了，9.0 新添加的 V3 签名方案就是为理解决签名替换的。这些，一定都是提前准备。

签名过期的问题，不需要太担心，我们只要要跟着 Google 的步伐即可以了。

最后小结一下结论，签名过期的问题，在 Android 9.0 上新支持的 V3 签名，已经有处理的方案了。另外：

1. V1 签名遵循 JAR 的签名方式，单独验证 APK 压缩包中的文件。

2. V2 签名是针对 APK 文件的验证，将签名信息写入签名块中，加强了安全性和验证效率。

3. V3 签名在签名块中又添加了新块（attr），由更小的 level 块，以链表的形式存储多个证书。

4. 在 V3 方案中，最旧的证书为新块链表的根节点，以此对新证书签名，确保新证书正确有效。

V3 方案还没有正式开放，在最新版的 Build Tools 版本 28.0.3 中的 Apksigner，尚不支持 V3 的 APK 签名方案。想尝鲜可以通过源代码自行编译。

从现有的资料来看，我比较关心的多渠道打包的支持方案，在更新到 V3 之后，旧的 V2 支持的多渠道方案应该仍然有效（或者者一些改动）。

期待上线后的具体效果。