新的Google Play App Signing服务的主要目的是解决将发布商公钥硬编码到APK源代码中的问题,如 base64EncodedPublicKey =“ABCjjjjas ......”?
答案 0 :(得分:6)
没有。它可以减少您的签名密钥丢失或损坏时的损害。在此之前,如果您的密钥丢失,您将不得不联系谷歌使用新密钥。如果不删除并重新安装,旧用户将无法更新您的应用。如果您使用密钥共享来发布可以读取彼此数据的多个应用程序,则需要更改所有这些应用程序。这或多或少是一场噩梦。
使用新系统,如果您的密钥丢失了,请与谷歌联系。它们允许您上传新的上传密钥,并使用现有的签名密钥(仅在Google服务器上存在)。这可以防止上面列出的所有旧问题。
基本上,它消除了丢失签名密钥的代价,并最大限度地降低了损失的成本。记住 - 即使一个流氓员工想通过发布密钥来阻止你,你也可能遇到严重的问题。
当然,这确实意味着如果谷歌服务器遭到入侵并且密钥存储泄露,那么Android生态系统就会遇到严重问题。谷歌拥有他们在不知不觉中妥协你的密钥所需的一切。因此,您是否更害怕谷歌或邋,,您自己的安全实践以及流氓/心怀不满的员工。