一、问题
在验证一个 apk 的签名时,发现通过命令行 keytool 得到的 apk 签名,跟用代码得到的 apk 签名不一致。
代码是这样的:
public static String getSignatureMd5(Context context) {
String signal = getSignature(context);
return md5(signal);
}
private static String getSignature(Context context) {
if (context == null) {
return "";
}
String pkgname = context.getPackageName();
try {
PackageManager manager = context.getPackageManager();
PackageInfo packageInfo = manager.getPackageInfo(pkgname, PackageManager.GET_SIGNATURES);
Signature[] signatures = packageInfo.signatures;
return signatures[0].toCharsString();
} catch (Exception e) {
return "";
}
}
private static String md5(String sign) {
try {
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(sign.getBytes());
byte[] b = md.digest();
int i;
StringBuilder sb = new StringBuilder();
for (byte value : b) {
i = value;
if (i < 0) {
i += 256;
}
if (i < 16) {
sb.append("0");
}
sb.append(Integer.toHexString(i));
}
return sb.toString();
} catch (Exception e) {
e.printStackTrace();
}
return "";
}
其中重点的代码有两句:signature.toCharString() 和 sign.getBytes()。
signature.toCharString() 是将签名 byte[] 转换 String
sign.getBytes() 是将转换得到的 String 再转为 byte[]
如果是直接对签名 bytes[] 求 md5 值,所得的结果与 keytool 得到的结果是一样的。 那为什么将 bytes[] 转成 String,再转为 byte[] 求 md5 值,得到的结果就不一样了呢。 难道 bytes[] 转成 String,再转为 byte[],得到的 byte[] 已经不是原来的 bytes[] 了吗? 经过验证,确实是不一样的。
二、分析
为什么不一样呢,我们先看下 byte、String 的含义。
byte 有两种含义:
- 一种是作为
数值 - 一种是作为
字符
比如
00110001可以代表十进制数值4900110001也可以代表 unicode 编码的\u0031(即 1 字符)
所以把 byte[] 转为 String,可以有两种形式:
- 一种是按数值转换
- 一种是按字符转换
比如
- 按数值,
00110001转换为"49"的 String - 按字符,
00110001转换为"1"的 String
String 也有两种含义:
- 一种是作为
数值 - 一种是作为
字符
比如
"00000001",代表十进制数值1"00110001",代表字符1
所以把 String 转为 byte[],可以有两种形式:
- 一种是按数值转换
- 一种是按字符转换
比如
按数值,"1" 转换为 00000001 的 byte
按字符,"1" 转换为 00110001 的 byte
再回头看看 signature.toCharString()、sign.getBytes():
-
signature.toCharString() 是将 byte[] 按
数值转换得到的 String -
sign.getBytes() 是将 String 按
字符转换得到的 byte[]
所以 byte[] -> String 的原 byte[] 和 String -> byte[] 转换得到的新 byte[] 是不一样的。
如果需要进行 byte[] 和 String 的转换,可以自己另写方法进行这两层解析,只要保证 byte[] -> String、String -> byte[] 的转化是一种类型即可。
三、补充
上面所说的 byte -> String 的数值转换。
又可分为带符号的数值转换、不带符号的数值转换。
一个 byte 占 8 位,如果认为它是带符号的数,那它的第一位是符号位,代表它是正数或负数。 如果认为它是无符号的数,那它永远是正数。
对正数来说,带符号的数值转换、不带符号的数值转换效果一致。
如 byte 00000001
- 按带符号的,它代表的数值是十进制的
1 - 带不带符号的,它代表的数值还是十进制的
1
对负数来说,带符号的数值转换、不带符号的数值转换效果不同。
如 byte 10001010
按带符号的,它代表的数值是十进制的 -10
按不带符号的,他代表的数值是十进制的 138
在进行带符号的数值转换时,将 byte 转为 int,再将 int 转为 String 即可。 在进行不带符号的数值转换时,特殊一点,需要对 byte 进行 &0xff 的运算得到 int,再将该 int 转为 String。
如 byte 11111111
- 按带符号的,它代表的数值是十进制的
-1 - 按不带符号的,它所代表的数值是十进制的
255
直接转为 int,得到的 int(补码)是 11111111 11111111 11111111 11111111。
它所对应的值是十进制的 -1。
和带符号的 11111111 一致。
&0xff 转为 int,11111111 & 0xff,得到的 int (补码)是 00000000 00000000 00000000 11111111。
它所代表的数值是 255。
和不带符号的 11111111 一致。
所以 &0xff 的作用就是,在 byte 转为 int 时,将高位的符号位变成 0。这样,算 int 的值时,就会按不带符号的 byte 值来计算。
认为一个 byte 是不带符号的数,常出现在文件的字节流中,字节流中的 byte 就可以认为是一个无符号数,这个数没有计数含义,只是指向一个字符。
signature.toCharString() 就是将 signature 按不带符号的数值转换,转换为一个 String。
