我为一家正在构建应用程序的公司工作,该应用程序可以通过编程方式安装,更新和删除应用程序(类似于Google Play已经执行的操作)。有业务要求支持仅安装公司签名的APK。我知道CDD允许自签名证书。但是,不考虑CDD要求,实现这一目标的最佳方法是什么?
在AOSP代码库上花了一些时间之后,我发现PackageManager提供了一个名为installPackageWithVerification的API,它可以满足允许安装使用特定签名签名的应用程序的要求。以下是installPackageWithVerification API的签名:
public abstract void installPackageWithVerification(Uri packageURI,
PackageInstallObserver observer, int flags, String installerPackageName,
Uri verificationURI, ManifestDigest manifestDigest,
ContainerEncryptionParams encryptionParams);
看来,verifyURI可以是应该检查APK的证书的文件URI。我对么?如果有人能够分享关于这个特定API的更多信息,那就太好了。
感谢。