如果 Play 商店将处理签名,我还需要在上传到 Google Play 之前对我们新创建的 aab 进行代码签名吗?
Do I still need to code sign our newly created aab before uploading to Google Play, if Play Store will be handling signing?
到目前为止,我们已经将 aab 包上传到 Google Play 并且(尽管我们现在正在使用 Google Play 的应用签名),我们还对像这样上传之前的 aab 包:
signingConfigs {
debug {
storeFile file('debug.keystore')
storePassword 'android'
keyAlias 'androiddebugkey'
keyPassword 'android'
}
release {
if (System.getenv()["CI"]) { // CI=true is exported by our CI
storeFile file(System.getenv()["CI_KEYSTORE_PATH"])
storePassword System.getenv()["CI_KEYSTORE_PASSWORD"]
keyAlias System.getenv()["CI_KEY_ALIAS"]
keyPassword System.getenv()["CI_KEY_PASSWORD"]
}
}
我们最近决定迁移到另一个 CI(github 操作),所以我们想知道我们是否仍然需要对发布的 aab 文件进行代码签名(从而处理将秘密上传到新 CI 等所带来的所有开销)因为 我们启用了 Google 播放签名和 Google 无论如何都会为我们处理签名.
我们能否使用 debug signingConfig 或更好但根本不对其进行代码签名并在发布时让 google 播放句柄?
p.s 我们将使用 fastlane 构建和部署我们的 react-native 项目。
您可能知道,应用签名密钥非常重要,因为它不能轻易更改,如果它被泄露,您的很多用户都会面临风险。
现在 Google 正在对 APK 进行签名,如果您仍然持有应用签名密钥,则应确保将其保存在具有受限 ACL 的安全位置,并且您不应再必须用它签署任何东西。
通过 GooglePlay 的 App 签名可以使用不同的密钥(称为 上传密钥[=26] 对 App Bundle 进行签名=]).虽然不是强制性的,但建议您利用此功能,因为它可以让您保护应用签名密钥的安全,并且仅使用上传密钥对上传到 Play 控制台的 App Bundle 进行签名。有关此键的更多信息:https://support.google.com/googleplay/android-developer/answer/7384423
如果上传密钥泄露或丢失,您只需请求 Google 创建一个新密钥,这不会影响您的用户。
请注意,所有 App Bundle 都需要在上传到 Play Console 时进行签名(并且它不能是调试证书),因此除非您构建的 Bundle 仅用于测试并且您没有意图将它们上传到 Play,您应该始终对它们进行签名(最好使用上传密钥)。
希望对您有所帮助,
到目前为止,我们已经将 aab 包上传到 Google Play 并且(尽管我们现在正在使用 Google Play 的应用签名),我们还对像这样上传之前的 aab 包:
signingConfigs {
debug {
storeFile file('debug.keystore')
storePassword 'android'
keyAlias 'androiddebugkey'
keyPassword 'android'
}
release {
if (System.getenv()["CI"]) { // CI=true is exported by our CI
storeFile file(System.getenv()["CI_KEYSTORE_PATH"])
storePassword System.getenv()["CI_KEYSTORE_PASSWORD"]
keyAlias System.getenv()["CI_KEY_ALIAS"]
keyPassword System.getenv()["CI_KEY_PASSWORD"]
}
}
我们最近决定迁移到另一个 CI(github 操作),所以我们想知道我们是否仍然需要对发布的 aab 文件进行代码签名(从而处理将秘密上传到新 CI 等所带来的所有开销)因为 我们启用了 Google 播放签名和 Google 无论如何都会为我们处理签名.
我们能否使用 debug signingConfig 或更好但根本不对其进行代码签名并在发布时让 google 播放句柄?
p.s 我们将使用 fastlane 构建和部署我们的 react-native 项目。
您可能知道,应用签名密钥非常重要,因为它不能轻易更改,如果它被泄露,您的很多用户都会面临风险。
现在 Google 正在对 APK 进行签名,如果您仍然持有应用签名密钥,则应确保将其保存在具有受限 ACL 的安全位置,并且您不应再必须用它签署任何东西。
通过 GooglePlay 的 App 签名可以使用不同的密钥(称为 上传密钥[=26] 对 App Bundle 进行签名=]).虽然不是强制性的,但建议您利用此功能,因为它可以让您保护应用签名密钥的安全,并且仅使用上传密钥对上传到 Play 控制台的 App Bundle 进行签名。有关此键的更多信息:https://support.google.com/googleplay/android-developer/answer/7384423
如果上传密钥泄露或丢失,您只需请求 Google 创建一个新密钥,这不会影响您的用户。
请注意,所有 App Bundle 都需要在上传到 Play Console 时进行签名(并且它不能是调试证书),因此除非您构建的 Bundle 仅用于测试并且您没有意图将它们上传到 Play,您应该始终对它们进行签名(最好使用上传密钥)。
希望对您有所帮助,