背景:
對接華為HMS SDK開發了一款游戲,近期游戲更新,提交審核被駁回:我們發現您的游戲與在貨架版本簽名不一致,請修改。
這里根據這次問題定位,寫了個總結,分享給大家。
排查步驟
1. 對比應用前一版本與現版本的是否一致
查看工程中的指紋證書:
a. 打開命令行,輸入keytool -list –v –keystore [簽名文件路徑]
b. 輸入秘鑰庫口令
c. 查看當前簽名指紋證書
APK簽名查看方法:
a. 輸入命令:keytool -printcert -jarfile xxx.apk(apk文件路徑)
b. 執行命令后顯示如下圖:
c. 可以看到當前應用apk的SHA256值,需要對比的兩個應用的SHA256值進行確認兩個應用的簽名證書是否一致
再將兩個APK的指紋證書與工程中的指紋證書對比,查看是否一致
2. 如果簽名證書不一致,一般有兩種情況,一種是兩個apk版本使用了不同的簽名文件打包。 這種情況,首先檢查工程中簽名使用的jks文件或keystore文件是否為同一文件。或者檢查jks或者keystore文件是否與不同環境或不同渠道混用,導致了簽名的不一致。
例如:
這里有debug和release兩個環境,兩者使用的jks文件不同,需要確認每個環境配置的jks文件是否一一對應,不能將debug的jks文件配置到release中,反之亦然。
3. 如果jks文件或keystore文件一致,則需要確認打包簽名是否使用了自動化流程,檢查自動化流程中是否使用了常規的DEX文件加殼,從而導致了簽名不一致。
以一個android應用加固網站為例,應用可以在類似的第三方平台進行二次加固,一般此類平台加固完成之后可能會丟失簽名,需要二次apk簽名並添加渠道:
上傳應用:
應用加固:
加固完成后會生成一個新的apk:
可以看到應用在加固后簽名已經丟失,一般使用平台流程化加固打包會在加固完成后自動進行二次簽名,這樣會導致應用簽名與原始工程簽名不一致,此處建議二次簽名自己手動使用命令簽名打包。
原文鏈接:https://developer.huawei.com/consumer/cn/forum/topic/0204405829208330252?fid=18
原作者:AppGallery Connect