本想自己查閱資料總結一篇ios簽名授權機制，但寫著寫著發現這篇已經總結概括的很好了，沒什么好多說的，就直接把推酷上的搬到了簡書上，以供更多網友學習。原文鏈接

（一）、幾個重要的概念

對什么是RSA、MD5、AES加密概念可以看這里

1. 非對稱加密
   非對稱加密算法需要兩個密鑰： 公開密鑰（publickey ）和 私有密鑰（privatekey） 。公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。（私鑰是要保密的，公鑰可以公開） RSA 是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數密碼攻擊，已被ISO推薦為公鑰數據加密標準。 RSA 是以三個發明者的姓氏首字母組成的。

2. 摘要算法
   數據摘要算法是密碼學算法中非常重要的一個分支，它通過對所有數據提取指紋信息以實現數據簽名、數據完整性校驗等功能，由于其不可逆性，有時候會被用做敏感信息的加密。數據摘要算法也被稱為哈希（Hash）算法、散列算法。 摘要算法也可以理解為將任意長度的數據，通過一個算法，得到一個固定長度的數據。典型的摘要算法，比如大名鼎鼎的 MD5 和 SHA 。

3. 數字簽名
   數字簽名就是利用 非對稱加密 和 摘要算法 來傳輸數據，保證數據的 完整性 和 合法性 。驗證過程如下： 1. 發送方使用給一個摘要算法（ MD5 ）得到要發送數據的摘要，然后用自己的私鑰和一個非對稱加密算法（ RSA ）對得到的摘要加密，得到加密后的數據，然后將 要發送的數據 、 加密后的數據 、 摘要算法 和 加密算法 一同發送給接收方。 2. 接收方接收到數據后，根據指定的摘要算法（ MD5 ）得到實際要傳輸的數據的摘要，然后在根據指定的加密算法（ RSA ）和已有的公鑰解密得到加密數據解密后的數據，最后比較解密后的數據和得到的摘要是否相同，如果相同就說明實際要傳輸的數據是完成的合法的。

數字簽名流程圖

4. 數字證書
數字證書就是通過數字簽名方式來傳輸的一段數據，iOS開發中的數字證書是Apple Worldwide Developer Relations Certification Authority(WWDR)證書認證中心數字簽名過的數據，表面上我們看到的就是鑰匙串中的證書，實際WWDR數字簽名后的證書包含以下內容：

• 用戶的公鑰
• 用戶信息
• 證書機構名稱
• 證書有效期
• 蘋果數字簽名 ： 用于驗證以上信息

二、證書申請

** 1、iOS簽名驗證流程圖**

• 支付$99或$299成為蘋果開發者，并每年續費。
• 安裝蘋果開發者根證書Apple Worldwide Developer Relations Certification Authority，一般而言，如果安裝了Xcode，那么這個證書是自動安裝在Key Chain中了。這證書包含了蘋果CA的 公鑰 。有了這個公鑰，我們和Apple就可以進行互信的信息傳遞。整個過程大致如下：

iOS簽名驗證流程

** 2、證書申請流程 **

1. 用我們自己的機器生成 CertificateSigningRequest.certSigningRequest 文件，在生成的過程中會產生一對公鑰和私鑰，私鑰已經保存在我們的機器上，這個文件包含了我們的公鑰，具體內容如下：

• 申請者信息，此信息是用申請者的 私鑰 加密的。
• 申請者公鑰，此信息是申請者使用的 私鑰 對應的公鑰。
• 摘要算法和公鑰加密算法

2. 上傳 CertificateSigningRequest.certSigningRequest 到 MemberCenter 。 MemberCenter 根據獲取到的 公鑰 和我們的用戶信息，通過 Apple 自己的私鑰進行數字簽名生成證書，這個證書可以通過安裝 Xcode 過程中安裝的根證書進行驗證。具體證書包含內容如下：

• 用戶的公鑰
• 用戶信息
• 證書機構名稱
• 證書有效期
• 蘋果數字簽名 ： 通過根證書驗證以上信息

3. 下載生成的證書，雙擊安裝就會出現在 鑰匙串 中， 鑰匙串 會根據證書中的公鑰對應上本機器上的私鑰。

   
   
   安裝證書.png

后續在程序上真機的過程中，會使用這個私鑰，對代碼進行簽名，而公鑰會附帶在mobileprovision文件中，打包進app。

所以，就算你有證書，但是如果沒有對應的私鑰是沒有用的。那么有人要問了，既然私鑰只有某臺電腦生成的，那么團隊開發怎么展開呢？將最初申請證書的機器的私鑰導出成.p12文件，并讓其他機器導入，同時其他機器也應該安裝下載下來的證書。所以強烈建議CertificateSigningRequest.certSigningRequest需要保留，因為如果再次生成CertificateSigningRequest.certSigningRequest文件，可能就是對應另一個私鑰了！還需要在共享一次私鑰，會比較麻煩。

（三）、打包簽名

1. 下載安裝配置文件mobileprovision,mobileprovision 包含如下信息：

• appid： 每個 app 在 MemberCenter 創建的對應的 id 。
• 包含哪些證書： 不同證書對應不同功能。
• 功能授權列表
• 可安裝的設備列表： iOS設備的UDID列表，發布證書應該是通配。
• 蘋果數字簽名： 蘋果用來驗證以上的信息。

2. 通過 Xcode 指定要使用的證書，其實是 指定了簽名過程中要使用的 私鑰 ，因為這個私鑰是和證書中的公鑰相對應的。然后指定對應的 mobileprovision ，由于 mobileprovision 文件中包含了證書，實際上本地證書就是 Xcode 用來指定對應 私鑰 用的。

3. 最后通過指定的私鑰對需要簽名的數據進行數字簽名（編譯過程在簽名之前，這里省略了編譯過程，編譯后的二進制文件也是要簽名的內容），最終將 ipa 包的形式輸出， ipa 的文件結構如下：

   
   
   ipa 的文件結構

** .ipa包含的內容有：**

• 資源文件： 例如圖片、html、等等。
• _CodeSignature/CodeResources： plist文件，內容是包內所有數據的數字簽名。
• 可執行文件： 編譯后的二進制文件。
• mobileprovision： 我們之前通過Xcode指定的包含了證書的文件。
• Frameworks： 程序引用的非系統自帶的Frameworks。每個Framework的結構跟app其實差不多

（四）、 驗證安裝

1. 解壓 ipa 包，獲取 embedded.mobileprovision ，通過設備上的 Apple 公鑰驗證該文件的完整性和安全性。
2. embedded.mobileprovision 文件驗證通過，獲取該文件內的用戶證書，再通過設備上的 Apple 公鑰驗證該證書的完整性和安全性。
3. 證書驗證通過后，獲取證書內的我們開發者的公鑰。然后通過開發者的公鑰驗證應用程序包內的數據的完整性和安全性。通過后即可安裝。