Apk打包、安装、签名

Apk组成

resources.arsc 编译后的二进制资源文件。
classes.dex 是.dex文件。最终生成的Dalvik字节码。
AndroidManifest.xml 程序的全局清单配置文件。
res 是uncompiled resources。存放资源文件的目录。
META-INF 是签名文件夹。存放签名信息
MANIFEST.MF（清单文件）：其中每一个资源文件都有一个SHA-256-Digest签名，MANIFEST.MF文件的SHA256（SHA1）并base64编码的结果即为CERT.SF中的SHA256-Digest-Manifest值。
CERT.SF（待签名文件）：除了开头处定义的SHA256（SHA1）-Digest-Manifest值，后面几项的值是对MANIFEST.MF文件中的每项再次SHA256并base64编码后的值。
CERT.RSA（签名结果文件）：其中包含了公钥、加密算法等信息。首先对前一步生成的MANIFEST.MF使用了SHA256（SHA1）-RSA算法，用开发者私钥签名，然后在安装时使用公钥解密。最后，将其与未加密的摘要信息（MANIFEST.MF文件）进行对比，如果相符，则表明内容没有被修改。

具体打包流程

1.aapt工具会在我们编码时打包res资源文件，生成R.java、resources.arsc和res文件。

2.aidl工具解析接口定义文件然后生成相应的Java代码接口供程序使用。如果项目没有用到aidl则不会执行这一步。

3.Java Compiler阶段，将R.java，aidl生成的java文件，以及我们程序的java代码，通过Java编译器(javac)编译成.class文件。

4.通过dx工具，将所有.class文件处理成.dex文件。

5.通过apkbuilder工具将resources.arsc、res文件、assets文件和classes.dex一起打包生成apk。

6.通过Jarsigner工具对上面的apk进行签名

7.通过zipalign工具对签名后的apk进行对齐处理。

Apk安装流程

复制APK到/data/app目录下，解压并扫描安装包。
资源管理器解析APK里的资源文件。
解析AndroidManifest文件，并在/data/data/目录下创建对应的应用数据目录。
然后对dex文件进行优化，并保存在dalvik-cache目录下。
将AndroidManifest文件解析出的四大组件信息注册到PackageManagerService中。
安装完成后，发送广播。

Android签名机制

Android 应用的签名工具有两种：

jarsigner：jdk 自带的签名工具，可以对 jar 进行签名。使用 keystore 文件进行签名。生成的签名文件默认使用keystore 的别名命名。
signAPK：Android sdk 提供的专门用于 Android 应用的签名工具。 signapk.jar是Android源码包中的一个签名工具。代码位于Android源码目录下，signapk.jar 可以编译build/tools/signapk/ 得到。使用 pk8、x509.pem 文件进行签名。其中 pk8 是私钥文件，x509.pem 是含有公钥的文件。生成的签名文件统一使用“CERT”命名。

jarsigner和signAPK的区别：

Android提供了两种对Apk的签名方式，一种是基于JAR的签名方式，另一种是基于Apk的签名方式，它们的主要区别在于使用的签名文件不一样： jarsigner使用keystore文件进行签名；apksigner除了支持使用keystore文件进行签名外，还支持直接指定pem证书文件和私钥进行签名。

签名过程：

1、计算摘要：
通过Hash算法提取出原始数据的摘要。
2、计算签名：
再通过基于密钥（私钥）的非对称加密算法对提取出的摘要进行加密，加密后的数据就是签名信息。
3、写入签名：
将签名信息写入原始数据的签名区块内。

校验过程：

签名验证是发生在APK的安装过程中
1、计算摘要
首先用同样的Hash算法从接收到的数据中提取出摘要。
2、解密签名：
使用发送方的公钥对数字签名进行解密，解密出原始摘要。
3、比较摘要：
如果解密后的数据和提取的摘要一致，则校验通过；如果数据被第三方篡改过，解密后的数据和摘要将会不一致，则校验不通过。

V1签名和V2签名的改变

V2计算加快签名速度，保证META-INFO目录不会被篡改。