參考
什么是 Android 簽名機制，Bluebox Security 發(fā)現(xiàn)的漏洞有何威脅？
Android應(yīng)用程序簽名詳解
Android Studio如何打包簽名

一些惡意開發(fā)者會采用反編譯重新編譯的方法來給各種應(yīng)用夾帶私貨然后偷偷上傳到各個渠道等著小白鼠自己上鉤，比如我反編譯個QQ，加了個廣告，忽悠到人裝了……從此你的手機就各種彈廣告你還不知道是哪個軟件干的……起碼普通用戶是不會知道了，除非挨個兒卸載嘗試。
但是這種做法有一個弊端（對于惡意開發(fā)者而言），惡意開發(fā)者一定拿不到QQ官方的簽名文件，于是只能用自己的簽名文件簽名……然后用戶如果之前安裝過官方版本的QQ就會發(fā)現(xiàn)“簽名不一致”的提示，各大應(yīng)用市場也可以通過這種辦法來鑒別（比如某莢提供的洗白白功能其實就是在對比簽名），雖然還是會有人中招，但是也算是有應(yīng)對之法。

一、概述

在Android 系統(tǒng)中，所有安裝到系統(tǒng)的應(yīng)用程序都必有一個數(shù)字證書，此數(shù)字證書用于標(biāo)識應(yīng)用程序的作者和在應(yīng)用程序之間建立信任關(guān)系，Android系統(tǒng)要求每一個安裝進系統(tǒng)的應(yīng)用程序都是經(jīng)過數(shù)字證書簽名的，數(shù)字證書的私鑰則保存在程序開發(fā)者的手中。
Android數(shù)字證書包含以下幾個要點：
(1)所有的應(yīng)用程序都必須有數(shù)字證書 ，Android系統(tǒng)不會安裝一個沒有數(shù)字證書的應(yīng)用程序 (2)Android程序包使用的數(shù)字證書可以是自簽名的，不需要一個權(quán)威的數(shù)字證書機構(gòu)簽名認證
(3)如果要正式發(fā)布 一個Android ，必須使用一個合適的私鑰生成的數(shù)字證書來給程序簽名 ，而不能使用adt插件或者ant工具生成的調(diào)試證書來發(fā)布。
(4)數(shù)字證書都是有有效期 的，Android只是在應(yīng)用程序安裝的時候才會檢查證書的有效期。如果程序已經(jīng)安裝在系統(tǒng)中，即使證書過期也不會影響程序的正常功能。
(5)Android使用標(biāo)準(zhǔn)的java工具 Keytool and Jarsigner 來生成數(shù)字證書，并給應(yīng)用程序包簽名。

二、為什么我開發(fā)的Android應(yīng)用程序沒有做什么簽名也能在模擬器和手機上運行？

你沒有給Android應(yīng)用程序簽名并不代表Android應(yīng)用程序沒有被簽名。為了方便我們開發(fā)調(diào)試程序，ADT會自動的使用debug密鑰為應(yīng)用程序簽名。debug密鑰？它在哪？debug密鑰是一個名為debug.keystore的文件，它的位置： 系統(tǒng)盤符:/Documents and Settings/liufeng/.android/debug.keystore
“l(fā)iufeng”對應(yīng)于你自己的windows操作系統(tǒng)用戶名，怎么樣，是不是已經(jīng)找到它了。這也就意味著，如果我們想擁有自己的簽名，而不是讓ADT幫我們簽名的話，我們也要有一個屬于自己的密鑰文件（*.keystore）。

三、命令行方式

打包Android APK的方法有很多，命令行，或者Gradle，ANT，MAVEN等等，方法有很多。

1）準(zhǔn)備工作
給apk簽名一共要用到3個工具，或者說3個命令，分別是：keytool、jarsigner和zipalign，下面是對這3個工具的簡單介紹：
1）keytool：生成數(shù)字證書，即密鑰，也就是上面說到的擴展名為.keystore的那類文件；
2）jarsigner：使用數(shù)字證書給apk文件簽名；
3）zipalign：對簽名后的apk進行優(yōu)化，提高與Android系統(tǒng)交互的效率(Android SDK1.6版本開始包含此工具)
從這3個工具的作用也可以看出，這3個工具的使用順序。通常我們自己所開發(fā)的所有應(yīng)用程序，都是使用同樣的簽名，即使用同一個數(shù)字證書，這就意味著：如果你是第一次做Android應(yīng)用程序簽名，上面的3個工具都將用到；但如果你已經(jīng)有數(shù)字證書了，以后再給其它apk簽名時，只需要用到j(luò)arsigner和zipalign就可以完成。
為了方便使用上面3個命令，首先需要將上面3個工具所在路徑添加到環(huán)境變量path中（我說的是為了方便使用，沒有說必須要這么做）。怎么配置環(huán)境變量就不在此講解了，這里需要說一下這3個工具默認所在的路徑：
1）keytool：該工具位于jdk安裝路徑的bin目錄下；
2）jarsigner：該工具位于jdk安裝路徑的bin目錄下；
3）zipalign：該工具位于android-sdk-windows/tools/目錄下
不知道大家是否注意到keytool和jarsigner兩個工具是jdk自帶的，也就意味著生成數(shù)字證書和文件簽名不是Android的專利；另外從字面上理解jarsigner也能猜得出該工具主要是用來給jar文件簽名的。
2）生成未經(jīng)簽名的apk文件
既然我們要自己對apk進行簽名，就不再需要ADT默認幫我們簽名了。如何得到一個未經(jīng)簽名的apk文件呢？打開Eclipse，在Android工程名稱上點擊右鍵，依次選擇“Android Tools” - “Export Unsigned Application Package ...”，然后選擇一個存儲位置保存即可。這樣就得到了一個未經(jīng)簽名的apk文件。
3）使用keytool工具生成數(shù)字證書
keytool -genkey -v -keystore liufeng.keystore -alias liufeng.keystore -keyalg RSA -validity 20000
說明：
1）keytool是工具名稱，-genkey意味著執(zhí)行的是生成數(shù)字證書操作，-v表示將生成證書的詳細信息打印出來，顯示在dos窗口中；
2）-keystore liufeng.keystore 表示生成的數(shù)字證書的文件名為“l(fā)iufeng.keystore”；
3）-alias liufeng.keystore 表示證書的別名為“l(fā)iufeng.keystore”，當(dāng)然可以不和上面的文件名一樣；
4）-keyalg RSA 表示生成密鑰文件所采用的算法為RSA；
5）-validity 20000 表示該數(shù)字證書的有效期為20000天，意味著20000天之后該證書將失效
在執(zhí)行上面的命令生成數(shù)字證書文件時，會提示你輸入一些信息，包括證書的密碼，示例如下：

Paste_Image.png

4）使用jarsigner工具為Android應(yīng)用程序簽名
jarsigner -verbose -keystore liufeng.keystore -signedjar notepad_signed.apk notepad.apk liufeng.keystore
說明：
1）jarsigner是工具名稱，-verbose表示將簽名過程中的詳細信息打印出來，顯示在dos窗口中；
2）-keystore liufeng.keystore 表示簽名所使用的數(shù)字證書所在位置，這里沒有寫路徑，表示在當(dāng)前目錄下；
3）-signedjar notepad_signed.apk notepad.apk 表示給notepad.apk文件簽名，簽名后的文件名稱為notepad_signed.apk；
4）最后面的liufeng.keystore 表示證書的別名，對應(yīng)于生成數(shù)字證書時-alias參數(shù)后面的名稱
5）使用zipalign工具優(yōu)化已簽名的apk（非必須但建議這么做）
zipalign -v 4 notepad_signed.apk notepad_signed_aligned.apk
說明：
1）zipalign是工具名稱，-v表示在DOS窗口打印出詳細的優(yōu)化信息；
2）notepad_signed.apk notepad_signed_aligned.apk 表示對已簽名文件notepad_signed.apk進行優(yōu)化，優(yōu)化后的文件名為notepad_signed_aligned.apk
說明：如果你以前的程序是采用默認簽名的方式（即debug簽名），一旦換了新的簽名應(yīng)用將不能覆蓋安裝，必須將原先的程序卸載掉，才能安裝上。因為程序覆蓋安裝主要檢查兩點：
1）兩個程序的入口Activity是否相同。兩個程序如果包名不一樣，即使其它所有代碼完全一樣，也不會被視為同一個程序的不同版本；
2）兩個程序所采用的簽名是否相同。如果兩個程序所采用的簽名不同，即使包名相同，也不會被視為同一個程序的不同版本，不能覆蓋安裝。
另外，可能有人可能會認為反正debug簽名的應(yīng)用程序也能安裝使用，那也沒有必要自己簽名了嘛。千萬不要這樣想，debug簽名的應(yīng)用程序有這樣兩個限制，或者說風(fēng)險：
1）debug簽名的應(yīng)用程序不能在Android Market上架銷售，它會強制你使用自己的簽名；
2）debug.keystore在不同的機器上所生成的可能都不一樣，就意味著如果你換了機器進行apk版本升級，那么將會出現(xiàn)上面那種程序不能覆蓋安裝的問題。不要小視這個問題，如果你開發(fā)的程序只有你自己使用，當(dāng)然無所謂，卸載再安裝就可以了。但要是你的軟件有很多使用客戶，這就是大問題了，就相當(dāng)于軟件不具備升級功能！

四、Android Studio打包簽名

調(diào)試時默認生成的apk

打開我們的AS上的Hello World項目，點擊菜單

彈出窗口，如果沒有key，就創(chuàng)建一個，有的話就選擇存在的Key

我們新建一個，可根據(jù)自己需要填寫相關(guān)項

點擊OK后，可以看到我們密碼的信息，可能需要我們填入密碼

點擊Next

點擊Finish稍等一會兒會出現(xiàn)下述提示，說明應(yīng)用已經(jīng)打包簽名成功

可以看到打包后的APK已經(jīng)安詳?shù)靥稍谖覀兊腶pp目錄下了

如果你要驗證是否簽名，只需要輸入下述cmd指令

Paste_Image.png

五、多渠道打包

參考
Gradle for Android（三）多渠道打包、配置簽名信息
［Android Studio 權(quán)威教程］多渠道打包和一鍵完成（全部產(chǎn)品）打包并簽名