欢迎关注千巅科技,江西领先的企业信息化服务商!
开发时安装App,它有两个需求
我们先来看第一个,开发时安装App,它有两个需求:
- 安装包不需要传到苹果服务器,可以直接安装到手机上。如果你编译一个App到手机前要先传到苹果服务器签名,这显然是不能接受的。
- 苹果必须对这里的安装有控制权,包括:
- a. 经过苹果允许才可以这样安装;
- b. 不能被滥用导致非开发App也能这样安装;
为了实现这些需求,iOS签名的复杂度也就开始增加了。
苹果这里给出的方案是使用了双层签名,会比较绕,流程大概是这样的:
- 在你的Mac开发机器生成一对公私钥,这里称公钥L,私钥L。(L:Local)
- 苹果自己有固定的一对公私钥,跟上面AppStore例子一样,私钥在苹果后台,公钥内置在每个iOS设备上,这里称为公钥A,私钥A。(A:Apple)
- 把公钥L上传到苹果后台,用苹果后台里的私钥A去签名公钥L。得到一份数据包含了公钥L以及其签名,把这份数据称为证书。
- 在开发时,编译完一个App后,用本地的私钥L对这个App进行签名,同时把第三步得到的证书一起打包进App里,安装到手机。
- 在安装时,iOS系统取得证书,通过系统内置的公钥A,去验证证书的数字签名是否正确。
- 验证证书确保公钥L是苹果认证过的,再用公钥L去验证App的签名,这里就间接验证了这个App的安装行为是否经过苹果官方允许。(这里只验证安装行为,不验证App是否被改动,因为开发阶段App内容总是不断变化的,苹果不需要管)。
加点东西
上述流程只解决了上面第一个需求,也就是需要经过苹果允许才可以安装,还未解决第二个避免被滥用的问题。怎么解决呢?苹果加了两个限制,一是限制在苹果后台注册过的设备才可以安装;二是限制签名只能针对某一个具体的App。
那么它到底是怎么添加这两个限制的呢?在上述第三步,苹果用私钥A签名我们的本地公钥L时,实际上除了签名本地公钥L外,还可以加上无限多数据,这些数据都可以保证是经过苹果官方认证的,不会有被篡改的可能。
可以想到把允许安装的设备ID列表和App对应的AppID等数据,都在第三步这里跟公钥L一起组成证书,再用苹果私钥A对这个证书签名。在最后第5步验证时就可以拿到设备ID列表,判断当前设备是否符合要求。根据数字签名的原理,只要数字签名通过验证,第5步这里的设备IDs/AppID/公钥L就都是经过苹果认证的,无法被修改,苹果就可以限制可安装的设备和APP,避免滥用。
最终流程
到这里这个证书已经变得很复杂了,有很多额外信息,实际上除了设备ID/AppID,还有其他信息也需要在这里用苹果签名,像App里iCloud、push、后台运行 等权限苹果都想控制,苹果把这些权限开关统称为Entitlements,它也需要通过签名去授权。
实际上一个证书本来就有规定的格式规范,上面我们把各种额外的信息塞入证书里是不合适的,于是苹果另外搞了一个东西,叫Provisioning Profile,一个Provisioning Profile里就包含了证书以及上述提到的所有额外信息,以及所有信息的签名。
所以,整个流程稍微变一下,就成这样了:
因为步骤有小变动,这里我们不辞啰嗦重新再列一遍整个流程:
- 在你的 Mac 开发机器生成一对公私钥,这里称为公钥L,私钥L。L:Local
- 苹果自己有固定的一对公私钥,跟上面 AppStore 例子一样,私钥在苹果后台,公钥在每个iOS设备上。这里称为公钥A,私钥A。A:Apple
- 把公钥L传到苹果后台,用苹果后台里的私钥A去签名公钥L。得到一份数据包含了公钥L以及其签名,把这份数据称为证书。
- 在苹果后台申请AppID,配置好设备ID列表和APP可使用的权限,再加上第③步的证书,组成的数据用私钥A签名,把数据和签名一起组成一个Provisioning Profile文件,下载到本地Mac开发机。
- 在开发时,编译完一个APP后,用本地的私钥L对这个APP进行签名,同时把第④步得到的Provisioning Profile文件打包进APP里,文件名为 embedded.mobileprovision,把APP安装到手机上。
- 在安装时,iOS系统取得证书,通过系统内置的公钥A,去验证 embedded.mobileprovision的数字签名是否正确,里面的证书签名也会再验一遍。
- 确保了embedded.mobileprovision里的数据都是苹果授权以后,就可以取出里面的数据,做各种验证,包括用公钥L验证APP签名,验证设备ID是否在ID列表上,AppID是否对应得上,权限开关是否跟APP里的Entitlements对应等。
开发者证书从签名到认证最终苹果采用的流程大致是这样,还有一些细节像证书有效期/证书类型等就不细说了。
提供长期稳定不掉线、可带推送功能的ios企业签名服务,跳过漫长艰难审核过程,直接为用户提供高速下载安装服务: https://ds.fubi.hk/
新闻留言
姓名
(*)
:
不能为空
内容
(*)
:
不能为空
相关新闻
- 2020-09-30 千巅科技2020年中秋国庆放假通知
- 2020-09-15 推送低俗、淫秽等内容,这些APP被点名!这14款APP请谨慎下载使用
- 2020-09-05 网页版小程序和定制版小程序的区别是什么
- 2020-09-02 件开发定制、小程序定制开发团队哪家好?
- 2020-08-31 江西南昌直播小程序APP开发
- 2020-08-28 小程序存在的意义—用户篇
- 2020-08-25 2020年8月25日[七夕节]我司提前下班通知
- 2020-08-25 小程序商城交易中的信任问题
- 2020-08-24 如何实现小程序用户增长,开发者给了几点关键建议
- 2020-08-21 如何玩餐饮+小程序:三大业务场景典型营销案例
- 2020-08-20 微信小程序订阅消息开发指南
- 2020-08-14 网站封装成的APP,究竟有什么过人之处
- 2020-08-13 全国首届小程序云开发挑战赛正式启动报名
- 2020-08-08 小程序开发_家电维修小程需要开发什么样的功能?
- 2020-08-05 化妆品商家开发小程序:收益成倍增长
- 2020-07-31 导游微信小程序开发作用有哪些呢?
- 2020-07-29 餐饮行业该选择小程序开发还是APP开发?
- 2020-07-28 微信小商店上线,未来是否值得投入?
- 2020-07-24 基于 Serverless Framework 的人工智能小程序开发
- 2020-07-21 如何搭建微信公众号最快盈利模式?
