解读

面试官问“签名目的”时，想确认你对 Android 安全模型、包管理机制、版本升级策略是否成体系；追问“V1/V2/V3 区别”则考察你是否跟进了国内 2017 年以后强制 APK Signature Scheme V2、以及 2019 年 targetSdkVersion 30+ 默认 V3 的演进，能否把“签名速度、完整性校验范围、前后向兼容、密钥轮换”这些关键点说透。回答时务必结合国内渠道（华为、小米、OPG、应用宝）对 V1 签名校验的宽松差异，以及加固后再签名的顺序问题，否则会被追问“为什么加固完装小米上提示篡改”。

知识点

1. 签名目的

   1. 身份认证：系统通过公钥指纹判定 APK 与上一版本是否同源，决定能否走“增量升级”路径。
   2. 完整性：所有字节（含 ZIP 条目、META-INF、AndroidManifest.xml）被哈希后写入签名块，防止二次打包、广告 SDK 植入。
   3. 沙箱权限继承：签名证书是“共享 UID”“共享进程”的唯一凭证，国内很多插件化框架（RePlugin、Shadow）依赖同一证书规避 SELinux deny。
   4. 生态合规：Google Play 从 2021.8 强制 AAB，上传后 Google 会用 V3 轮换密钥再签名；国内 OPG 要求 V2+ 且禁止仅 V1，否则无法获取隐私合规标签。

2. V1（JAR 签名，基于 JDK 的 META-INF）

   • 每个 ZIP 条目单独 SHA-1/SHA-256 后生成 .SF/.RSA/.DSA，安装时逐条校验，耗时随文件数线性增长。
   • 不保护 META-INF 以外区域，可插入空文件或修改注释段绕过校验，因此国内某些渠道“极速秒装”会利用这一点做热更新。
   • 仅支持单个证书链，无法做密钥轮换。

3. V2（APK Signature Scheme V2，Android 7.0+）

   • 把 APK 拆成“内容块”和“签名块”，哈希整个内容块写入中央目录之前，校验时 mmap 整块比对，安装速度提升 30% 以上。
   • 保护范围覆盖 ZIP 除签名块外所有字节，无法通过追加空文件绕过；同时引入分块哈希树，支持并行校验。
   • 仍只支持一个签名证书，但已兼容旋转（rotation）预留字段，为 V3 铺路。

4. V3（APK Signature Scheme V3，Android 9.0+，API 28）

   • 在 V2 签名块中增加“轮转属性”(attr) 存储新/旧证书链，支持旧证书签名的 APK 向新证书签名的 APK 无缝升级，解决证书到期或泄漏问题。
   • 国内手机厂商 2022 年起要求上架 30+ targetSdk，默认使用 V3；若仅 V2，会在后台更新场景提示“签名方案降级”而被拒绝。
   • 仍保留 V1/V2 作为降级路径，但系统优先选最高方案校验。

5. 实战注意

   • 加固顺序：先 V2/V3 签名 → 加固 → 渠道包再 V1 签名；若先加固后 V2，会导致哈希失效，小米/华为报“安装包异常”。
   • 密钥轮换：V3 轮转证书需在上传第一版时就放入 attr，后续才能改证书；国内存量 App 若证书已泄漏，只能弃包名或走“双签名+保活”灰度。
   • 性能：V2/V3 校验时间只与文件总大小相关，与文件数无关，因此对海外 AAB 拆包后的 4K 资源表特别友好。

答案

APK 签名的核心目的有三：

1. 证明作者身份，确保系统升级时同一包名只能由同一开发者更新；
2. 保证整包完整性，防止渠道二次打包植入恶意代码；
3. 作为沙箱权限与共享进程的凭证，决定应用间能否运行在同一 UID 或共享数据。

V1、V2、V3 的区别体现在保护范围、校验速度、证书能力与兼容性：

• V1 基于 JAR 签名，把每个 ZIP 条目单独哈希后写入 META-INF，安装时逐条校验，速度慢且无法保护 META-INF 外区域，存在被插入空文件绕过的风险；只支持单证书，无密钥轮换。
• V2 在 APK 中插入整块“签名块”，对整个内容区做哈希，校验时一次 mmap 完成，速度提升 30% 以上，保护范围完整；仍仅支持单证书，但为轮换预留了数据结构。
• V3 保留 V2 的整块校验机制，并在签名块新增“轮转属性”，支持旧证书与新证书同时可信，实现证书到期或泄漏后的无缝升级；Android 9+ 系统优先使用 V3，国内上架 targetSdkVersion 30+ 默认采用 V3，否则会被应用市场以“签名方案降级”驳回。

拓展思考

1. 国内渠道对 V1 的“宽容”正在收紧：华为应用市场 2023 Q2 开始，若 APK 仅含 V1 签名，无论加固与否，一律拒绝上架；OPG 则要求 V2+ 且开启 V3 轮转，才能申请“隐私标签”快速审核。
2. AAB 到 APK 的拆分签名：Google Play 使用 V3 为你的 App 做“Google 签名证书”轮换，上传密钥与分发证书分离；国内自建渠道包若需对齐这一机制，需在 build.gradle 中启用 v3SigningEnabled true，并提前把轮转证书写入 attr，否则后续无法在国内外双轨更新。
3. 性能调优：V2/V3 校验耗时与文件总大小线性相关，与文件数无关；对海外 Instant App 或国内“极速下载”插件，建议把资源合并成大文件并启用 V3，可将安装耗时从 1.2 s 降到 0.6 s，显著提升商店转化率。