Що таке файл брелоків для Android та для чого він використовується?

Це загальне питання, але особливо мене цікавить його використання для Android. Що таке файл зберігання брелоків і для чого він використовується?

Чи можуть кілька додатків Android використовувати одну і ту ж сховище ключів для підписання програми (що саме означає "підписати" .apk?), І які наслідки це мають (якщо такі є)?

Я відповів би на те, що файл зберігання брелоків - це автентифікація себе тому, хто запитує. Він не обмежується лише підписанням файлів .apk, ви можете використовувати його для зберігання особистих сертифікатів, підписувати дані, що передаються, і цілу різноманітність аутентифікації.

Що стосується того, що ви робите з ним для Android, і, напевно, того, що ви шукаєте, оскільки ви згадуєте про підписання apk, це ваш сертифікат. Ви брендуєте свою заявку за допомогою своїх облікових даних. Ви можете брендувати кілька додатків одним і тим же ключем, насправді рекомендується використовувати один сертифікат для брендування кількох написаних вами програм. Простіше відстежувати, які програми належать вам.

Я не впевнений, що ви маєте на увазі під наслідками. Я думаю, це означає, що ніхто, крім власника вашого сертифіката, не може оновити вашу заявку. Це означає, що якщо ви випустите його в дику природу, втратите сертифікат, який ви використовували для підписання програми, ви не можете випускати оновлення, тому зберігайте цей сертифікат в безпеці та створюйте резервну копію, якщо це потрібно.

Але крім підписання програм для випуску в дику природу, ви можете використовувати його для аутентифікації вашого пристрою на сервері через SSL, якщо ви цього хочете, (також пов’язаного з Android) серед інших функцій.

Android Market вимагає, щоб ви підписали всі програми, які ви опублікували, за допомогою механізму відкритого / приватного ключів (сертифікат підписаний вашим приватним ключем). Це забезпечує рівень безпеки, який, крім іншого, не дозволяє віддаленим зловмисникам виштовхувати шкідливі оновлення вашої програми на ринок (усі оновлення повинні бути підписані одним ключем).

З посібника із підпису програм на веб-сайті розробника Android:

Загалом, рекомендована стратегія для всіх розробників полягає в тому, щоб підписувати всі ваші програми одним і тим же сертифікатом протягом очікуваного терміну служби ваших додатків. Є кілька причин, чому ви повинні це зробити ...

Використання одного і того ж ключа має кілька переваг - одне - простіше обмінюватися даними між програмами, підписаними одним і тим же ключем. Інша полягає в тому, що вона дозволяє запускати декілька додатків, підписаних одним ключем, в одному і тому ж процесі, тому розробник може створювати більше "модульних" додатків.

Додаткову інформацію про процес підписання ви можете знайти в офіційній документації на Android тут: http://developer.android.com/guide/publishing/app-signing.html

Так, ви можете підписати кілька додатків з однією і тією самою магазином клавіш. Але ви повинні пам’ятати одну важливу річ: якщо ви публікуєте додаток у Play Store, ви повинні підписати його за допомогою сертифіката, що не налагоджує. І якщо ви одного дня хочете опублікувати оновлення для цього додатка, сховище ключів, яке використовується для підписання apk, повинно бути однаковим. В іншому випадку ви не зможете опублікувати своє оновлення.

Вся ідея keytool полягає в тому, щоб підписати свій apk унікальним ідентифікатором, що вказує джерело цього apk. Файл зберігання ключів (наскільки я розумію) використовується для налагодження, щоб ваш apk мав функціонал keytool без підписання apk для виробництва. Так, так, для налагодження ви повинні мати можливість підписати кілька apk з однією сховищем клавіш. Але розумійте, що при натисканні на виробництво вам знадобляться унікальні клавіатури як ідентифікатори для кожного створеного вами додатка.