iOS APP簽名機(jī)制原理詳解

更新時(shí)間：2019年01月23日 09:42:53 作者：小可長(zhǎng)江

這篇文章主要介紹了iOS APP簽名機(jī)制原理詳解，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

蘋果的需求

為了保證系統(tǒng)的安全性，所有iPhone上安裝的應(yīng)用必須是經(jīng)過(guò)蘋果授權(quán)的
安裝包不需要上傳到App Store也能被安裝（開發(fā)調(diào)試企業(yè)灰度）
防止證書權(quán)限濫用：設(shè)備限制、指定APP、iCloud/PUSH/后臺(tái)運(yùn)行等附加權(quán)限控制

蘋果的解決方案：雙層代碼簽名+描述文件:

這里畫一張圖附上：

在iOS出來(lái)之前，主流的操作系統(tǒng)（MacOS/Windows）軟件隨便從哪里下載都能運(yùn)行，系統(tǒng)安全存在隱患，盜版軟件、病毒入侵、靜默安裝等等，蘋果希望解決類似的問(wèn)題，保證在iPhone iOS上的APP都是經(jīng)過(guò)蘋果官方允許的，怎樣保證呢？就是通過(guò)代碼簽名。

如果要實(shí)現(xiàn)驗(yàn)證，最簡(jiǎn)單的方式就是蘋果官方生成一對(duì)RSA公私鑰，在iOS系統(tǒng)中內(nèi)置一個(gè)公鑰，私鑰由蘋果后臺(tái)保存，我們上傳APP到App Store時(shí)蘋果后臺(tái)用私鑰對(duì)APP數(shù)據(jù)進(jìn)行加密，iPhone下載APP后用公鑰驗(yàn)證這個(gè)簽名就可以確認(rèn)APP是否經(jīng)過(guò)允許或被三方篡改過(guò)。但是，我們安裝APP并不僅僅只有App Store這一個(gè)方式，比如真機(jī)調(diào)試、企業(yè)包等，所以只靠這個(gè)簡(jiǎn)單的數(shù)字簽名方式是不夠的。

于是蘋果設(shè)計(jì)了雙層簽名的機(jī)制，我們都知道iOS的應(yīng)用開發(fā)必須在Mac系統(tǒng)下進(jìn)行，正是由于這個(gè)依賴關(guān)系，雙層簽名才有了基礎(chǔ)：

在Mac系統(tǒng)中生成一對(duì)非對(duì)稱加密算法的公私鑰M（Xcode會(huì)幫你做好）
蘋果自己有固定的一對(duì)公私鑰，正如上述最簡(jiǎn)單的代碼簽名中提到的：私鑰A在蘋果后臺(tái)，公鑰A在每個(gè)iOS系統(tǒng)的手機(jī)中
把公鑰M以及一些開發(fā)者信息（也就是CSR文件）發(fā)送給蘋果后臺(tái)，用蘋果后臺(tái)的私鑰A對(duì)公鑰M簽名，得到一份包含公鑰M以及其簽名結(jié)果的數(shù)據(jù)就是證書（.p12）。
在開發(fā)時(shí)，當(dāng)我們打包時(shí)會(huì)用本地的私鑰M（也就是可導(dǎo)出給小伙伴的開發(fā)者證書）對(duì)這個(gè)APP進(jìn)行簽名，同時(shí)把第三步得到的證書一起打包進(jìn)APP里，然后安裝到手機(jī)上（真機(jī)聯(lián)調(diào)）或者提交App Store審核
安裝時(shí)，iOS系統(tǒng)取得內(nèi)置公鑰A去驗(yàn)證公鑰M的數(shù)字簽名證書是否正確
驗(yàn)證公鑰M是蘋果認(rèn)證過(guò)的后，再用公鑰M去驗(yàn)證APP的簽名，這樣就間接驗(yàn)證了這個(gè)APP的安裝是經(jīng)過(guò)蘋果允許的了（注意這里只驗(yàn)證安裝行為，不驗(yàn)證APP是否被改動(dòng)，因?yàn)殚_發(fā)階段APP內(nèi)容總是不斷變化的）

有了上面的過(guò)程已經(jīng)可以保證開發(fā)者的認(rèn)證和程序的安全了，但是如果只有上述的過(guò)程，那豈不是只要申請(qǐng)了一個(gè)證書就可以安裝到所有的iOS設(shè)備了？所以，蘋果又增加了授權(quán)文件（Provisioning profile）的驗(yàn)證，Provisioning profile一般包括三樣?xùn)|西：證書、APP ID、設(shè)備。

描述文件是在AppleDevelop網(wǎng)站創(chuàng)建的(在Xcode中填上AppleID它會(huì)代辦創(chuàng)建)，Xcode運(yùn)行時(shí)會(huì)打包進(jìn)入APP內(nèi)。在開發(fā)時(shí)，編譯完一個(gè) APP 后，用本地的私鑰M對(duì)這個(gè)APP進(jìn)行簽名，同時(shí)把從蘋果服務(wù)器得到的 Provisioning Profile 文件打包進(jìn)APP里，文件名為embedded.mobileprovision，當(dāng)把APP安裝到手機(jī)上時(shí)，iOS系統(tǒng)會(huì)進(jìn)行驗(yàn)證。

以上就是iOS應(yīng)用簽名的原理，下一篇我會(huì)基于這個(gè)原理給大家手?jǐn)]一個(gè)自動(dòng)重簽名的腳本。希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: