我目前正在开发一个与Google云端硬盘互动的应用程序。当您向云端硬盘注册应用时,它会询问用于签名的密钥的SHA1。在我之前的应用程序中,我还没有实现许可库,因为它似乎更多的工作然后它是值得的,并且将永远被修补,我的理论是如果人们不想付出他们的胜利&#39付出,我可以在其他地方更有建设性地利用我的时间。
然而,Drive询问密钥的SHA1这一事实让我想知道,当发出请求以确保它来自使用正确密钥签名的应用程序时,它是否会对此进行验证?
如果是这样,那么修补应用程序就像幸运的补丁一样会让应用程序辞职,这实际上会使应用程序发出的任何请求无效,使其无法用于驱动器吗?
感谢。
答案 0 :(得分:4)
如果有兴趣的话,我最终会从Lucky Patcher的作者那里找到答案。 他说LP没有辞职APK。它会修补odex文件,或者在Dalvik缓存中修补应用程序,因此不会更改任何签名,并且APK保持不变。
他还提供了一些建议,以防止幸运的修补程序以这种方式工作,即将LVL代码放在其他地方的jar文件中,例如assets文件夹或resources文件夹中,并从那里调用代码。这只是意味着要破解LVL代码,破解者必须修补jar然后重新签名代码。
因此,对于我们这些在您的代码中使用Google API来验证应用程序签名的人,我们看起来是一个相当可靠的复制保护方法。直到他们找到解决办法的方法当然。毫无疑问,他们会这样做。
答案 1 :(得分:0)
我不知道修补像Lucky Patcher这样的应用程序,但API控制台要求密钥的SHA1的原因正是您所说的:能够确保API请求来自特定应用程序。
这是Google Play服务引入的新要求:https://developers.google.com/android/google-play-services/authentication