超级签名-原理/机制/技术细节-彻底解析

时间  2021-08-13
标签 html git github 浏览器 安全 服务器 markdown 网络 架构 app 栏目 HTML 繁體版
原文   原文链接

随着苹果对于企业分发证书的频繁吊销和日益收紧,代签名行业也随之迭代出了黑科技,即所谓的超级签名。html

超级签名安装流程演示git

从整个安装流程上来看,超级签名少了在设置里面信任企业证书的步骤,体验上要比企业分发更简单和容易接受,同时分发价格也贵的离谱,不由让人好奇这新瓶里面到底装的是什么酒。github

今天就来帮你们解析一下其中的门门道道,以及这套机制的技术难点。浏览器

听说某分发平台价格表,来源网络,本人对图片真实性不负责

签名原理

签名原理其实就一句话,使用了苹果提供给开发者的Ad-Hoc分发通道,把安装设备当作开发设备进行分发。安全

既然签名用是 Ad-Hoc ,那么 Ad-Hoc 所具备的优劣势也一并继承了下来:服务器

优点:markdown

  1. 直接分发,安装便可运行,不须要用户作企业证书的信任操做
  2. 目前稳定,不会有证书吊销致使的业务风险(后续苹果政策风险很是高)

缺点:网络

  1. 单开发者帐号的iPhone设备数量只有100个,致使分发成本很是高(99美圆/1年/100个设备)
  2. 开发者帐号须要预先写入安装设备的UDID,在工具链不通的状况下,获取用户的UDID相对困难和繁琐,并且手动写入UDID不存在商用可行性,固然目前这个缺点被解决了

总体架构

接下来咱们就看看整套机制是如何进行的: 架构

总体架构

  1. 设备安装描述文件后,会向服务器发送设备的UDID。
  2. 服务器收到UDID后,将UDID注册到某个开发者帐号下。
  3. 再生成签名用的描述文件,给IPA签名。
  4. 而后iPA传Server,使用itms-services方式让用户下载。

技术细节

使用配置文件获取UDID

苹果公司容许开发者经过IOS设备和Web服务器之间的某个操做,来得到IOS设备的UDID(包括其余的一些参数)。这里的一个概述:app

  1. 在你的Web服务器上建立一个.mobileconfig的XML格式的描述文件;
  2. 用户在全部操做以前必须经过某个点击操做完成.mobileconfig描述文件的安装;
  3. 服务器须要的数据,好比:UDID,须要在.mobileconfig描述文件中配置好,以及服务器接收数据的URL地址;
  4. 当用户设备安装描述文件后,设备会回调你设置的URL,若是你的URL返回302跳转的话,Safari浏览器会跳转到你所给的地址;

Apple Developer Center 自动化工具

接下来的关键点就是如何在获取到用户的UDID以后,秒级完成注册新的开发者设备+更新Provisioning Profile的。 这里咱们须要借助开源工具(Spaceship):

Spaceship公开了Apple Developer Center的API,并且执行速度比解析开发者Web页面快两个数量级,从而在很是短的时间内搞定Provisioning Profile。 这个框架解决了整套机制的关键问题,成为整个工具链的基石。其实某平台早就完成了UDID获取和应用签名分发的技术储备,只差这套API。

下面是解析开发者Web页面和直接访问API的速度对比图:

SpaceshipRecording

Cool!!!!!!! 很是棒!再次为Spaceship鼓掌👏👏👏👏

如何自动签名封包

此处其实应该有一万个解决方案,经过命令行脚本/Python脚本/或者其余第三方都能实现。

这里推荐使用 Sigh 这个框架来解决这个问题。

Sigh的用法和配置都很是简单,一个纯命令工具,丰富的配置选项(自行查阅文档),活跃的社区,彻底够用了。

直接上演示图:

OTA 分发已签名的应用

emmmm 此处也应该有一万个解决方案,那就选择 AppDeploy 吧。入选缘由很是简单,这个框架有Logo(看脸的社会就是那么真实...)。

AppDeploy Logo

可视化部署流程以下图(同时支持命令行调用):

Apk

结语

经过开源社区的力量,咱们成功搞清了整个机制上的关键技术点,必需要说fastlane团队很是优秀的提供了工具链关键一环(Spaceship),从而使Ad-Hoc自动分发成为可能。

苹果对于App的分发审核管控能够说是很是严苛,这背后既有安全考虑,也有垄断利益。但不管如何,对于终端用户都是利大于弊的措施,App审核保护了无数的手机用户免受恶意程序的侵害。 我的强烈反对这种绕过审核的分发形式。同时我要指出,分发平台以这种状况绕过苹果的审核是严重违反 APPLE 开发商计划许可协议的3.3.3条款:

未经 Apple 预先书面核准或依照第 3.3.25 条 (In-App Purchase API) 获得容许,应用程序不可经由 App Store、Custom App Distribution 或 TestFlight 之外的分销渠道提供、解锁或激活附加的特征或功能。

开源工具链

获取设备UDID的第三方库:

github.com/shaojiankui…

Apple Developer Center 自动化工具:

github.com/fastlane/fa…

自动签名封包工具:

github.com/fastlane/fa…

OTA 分发应用工具:

github.com/atelierdumo…

参考资料

Over-the-Air Profile Delivery Concepts(获取设备UDID官方文档):developer.apple.com/library/arc…

APPLE 开发商计划许可协议:download.developer.apple.com/Documentati…

本文由你的关注/点赞/评论赞助发表

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程