以下代码(sign.hashCode())是否为我提供了签名的hashCode或内存中对象的哈希值?
try {
PackageInfo packageInfo = getPackageManager().getPackageInfo(
"com.klxx.as", PackageManager.GET_SIGNATURES);
Signature[] signs = packageInfo.signatures;
Signature sign = signs[0];
Log.i("test", "hashCode : "+sign.hashCode());
} catch (Exception e) {
e.printStackTrace();
}
文档(here)仅表示与任何其他对象类似的以下内容。
此对象的哈希码值。
但我在多个网站上看到上述片段声称它显示了apk的标志。还有一些其他来源使用签名字节来自己创建哈希。
答案 0 :(得分:2)
Signature.hashCode()被覆盖,在这种情况下是根据签名字节数组的内容计算的。
答案 1 :(得分:2)
虽然其他答案在技术上都是正确的,但其他答案都是危险的错误:
是,Signature.hashCode() is overwritten,确实在签名字节上计算了一些弱的32位哈希值,这使其具有确定性。
但是,您不应将此值用作任何类型的信任决定的基础,如果您首先检索签名,通常要这样做。这是因为生成hashCode()具有相同值的伪签名非常容易:只需生成2^32随机签名证书,您就有很大的机会发现冲突,并且非常可行。
相反,您应该使用加密安全的哈希函数,例如SHA-256和将产生的哈希值转换为Base64:
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hashBytes = digest.digest(sign.toByteArray());
String hash = Base64.encodeToString(hashBytes, Base64.NO_WRAP);
答案 2 :(得分:0)
它返回内存中签名对象的hashCode。 HashCode是每个Java对象上的函数,它返回HashMap,HashSet等使用的id来快速区分对象。除了它应该为应该独立散列的所有内容返回不同的值之外,没有定义该哈希代码的定义。