使用JarSigner以编程方式验证APK

Question

我想使用JarSigner从Java代码验证APK。我正在写编程安装的APK（就像谷歌播放）的应用程序，并在安装前检查以下内容：

• 验证.SF文件的签名itself.Verify摘要在每个条目中列出 .SF文件与 清单中的每个对应部分。
  验证清单中每个相应部分的.SF文件 中每个条目中列出的摘要。
  读取 中的每个文件，该文件在.SF文件中有一个条目。在读取时， 计算文件的摘要，然后将结果与清单部分中该文件的 摘要进行比较。

这很像与命令行选项-verify

我抬头Java文档运行的jarsigner，我想我可以用this.But JarSigner.verifyJar() API，这是不公开的方法。有没有人试图从Java代码验证APK？将欣赏任何指针。

Answer 1

你可以得到你的签名是这样的：

PackageInfo packageInfo = context.getPackageManager().getPackageInfo(
    context.getPackageName(), PackageManager.GET_SIGNATURES); 

List<String> list = new ArrayList<>(); 

for (Signature signature : packageInfo.signatures) { 
    MessageDigest md = MessageDigest.getInstance("SHA"); 
    md.update(signature.toByteArray()); 
    final String currentSignature = Base64.encodeToString(md.digest(), Base64.DEFAULT); 
    list.add(currentSignature); 
} 

的全部细节退房this article。