我正在构建一个类似于应用程序商店的东西,它的市场包括Android移动应用程序。我没有Google Play开发者控制台账户(是的,我仍然没有那25美元),但我当然知道Google Play大量使用APK签署发布时的证书。我不太确定这一点,但我认为至少有两(2)个原因说明这些证书很重要:
- 用来阻止某人上传其他人的作品。(例如,我将无法上传Google+ APK在我自己的帐户,因为我不知道它的证书细节。但是我对此有点困惑,因为如果我知道的是正确的,证书有私钥和公钥。那么,你对Google Play的评价是什么?)
- 我认为这在某种程度上也是有用的,如果我的Google Play控制台帐户被破坏,黑客不能上传新的恶意更新,因为再次,他不能复制证书(或者这是我认为至少,但现在我很困惑,因为我记得证书有一个到期日期,所以请在这一点上也启发我。
现在,这是我真正的问题。正如我之前所说,我正在制作一个类似应用商店的网站,用于销售Android应用。现在,因为我之前说过关于APK上的证书签名,我也想确保将上传他们的应用程序的开发人员真正拥有应用程序(这样就没有人会上传,例如,Facebook APK显然不是他们的,另一个有用的事情是,不会有重复的应用程序。)
我们正在使用PHP 和希望尽可能坚持PHP。是否有一种方法可以在PHP中做到这一点,如何做到?开发人员需要提供哪些密钥(用于验证)?私钥或公钥(我对此有点困惑,但我猜这是私钥)。谢谢!
编辑:
我偶然发现了这个链接,这可以在PHP中实现吗?对不起,我对PHP还不是很专业,我不知道终端命令是否可以从它运行。
什么是公钥/私钥?
您可以简单地搜索和阅读许多关于公钥/私钥加密的文章。
维基百科:https://en.m.wikipedia.org/wiki/Public-key_cryptography
apk符号使用情况如何?
现在你应该知道你在寻找什么钥匙以及为什么!但签署apk文件的主要原因是确保除了应用程序所有者(开发人员)之外没有人可以编辑应用程序并在市场或互联网上发布编辑(破解)的应用程序。
破解android应用程序是非常简单的,如果你知道java编程(除了混淆apks)。所以如果有人破解了你的签名apk,他会在apk上有不同的签名,Android操作系统不允许新的签名apk更新并替换为旧的签名apk。
如何阅读apk标志?
看本文主要答案:如何找出用于对应用程序签名的密钥存储库?
你问使用PHP获取apk符号。实际上你可以通过php获取RSA文件。但是要获得更多细节,您应该运行Java命令(keystore)。