在签名配置中写入密码是不是安全？

Posted 2023-02-26

【中文标题】在签名配置中写入密码是不是安全？

【英文标题】：Is it safe to write password in signing configuration?在签名配置中写入密码是否安全？

【发布时间】：2019-04-02 12:54:06

【问题描述】：

在项目结构的签名配置中写 Key Password 和 Store Password 是否安全？

【问题讨论】：

取决于谁可以访问您的计算机；或共享到您的项目。

@khelwood 我的意思是在商店或其他地方导出 apk 文件。

它将在 build.gradle 中以纯文本形式显示。它不会出现在 APK 中。

【参考方案1】：

我最近一直在考虑这个问题，并找到了更好的解决方案。您可以将 gradle 配置信息放入应该从中查找签名数据的位置。因此，如果您正在使用 git，您可以忽略该文件。任何接受项目并愿意签署 apk 的新开发人员都必须在构建发布之前获得上述文件。

这是一个例子。在 gradle 文件中的 signingConfigs 标记中，您使用 Properties，它正在读取包含签名信息的 keystore.config：

signingConfigs 
    release 
        Properties keystoreProps = new Properties()
        keystoreProps.load(new FileInputStream(file('keystore.config')))

        keyAlias keystoreProps['keyAlias']
        keyPassword keystoreProps['keyPassword']
        storePassword keystoreProps['storePassword']
        storeFile file('keystore.jks')
    

这里是 keystore.config 文件：

keyAlias=MyAlias
keyPassword=MyPassword
storePassword=StorePassword

上述解决方案假设keystore.jks 和keystore.config 位于app 文件夹中，但您可以随意更改路径。