如果有人反编译apk,如何确保应用签名密码不可用?

How to make sure that app signing passwords are not available if someone decompiles the apk?

目前,我通过以下方式对应用程序进行签名,其中从 CI 中的环境读取密钥。

signingConfigs {
  release {
      storeFile file(System.getenv("ANDROID_KEYSTORE_PATH"))
      storePassword System.getenv("KEYSTORE_PASSWORD")
      keyAlias System.getenv("KEY_ALIAS")
      keyPassword System.getenv("KEY_PASSWORD")
  }
}

buildTypes {
    release {
        signingConfig signingConfigs.release
        manifestPlaceholders = [excludeSystemAlertWindowPermission: "true"]
    }
}

但如果有人反编译apk,此方法将提供密码。

有没有办法让密钥仅在签名期间使用,然后从代码中剥离,然后上传到 Play 商店?

或者如果有人可以告诉我更安全的 apk 签名方式?

此详细信息不会捆绑在 apk 文件中,因此即使有人反编译您的 apk 他也不会看到此信息。

您也可以使用 android studio 创建签名的 apk。 检查 this link 看看它是如何完成的