我刚刚在 Play 控制台中注册了 App Signing,一切正常。
但是我现在应该如何处理我的新上传密钥库及其密码? 我可以将这个密钥库置于版本控制之下并以纯文本形式将密码放入构建脚本吗?
据我了解,此密钥库仅用于在上传之前临时签署我的 apk。所以我认为这是非常安全的,因为除了我自己之外没有人可以将新的 apk 上传到 Play,并且没有选择通过知道上传密钥来访问我原来的发布密钥库。
现在困扰我的另一件事是我看不到任何更改上传密钥库的选项。现在是否有可能,或者至少计划很快添加到 Play 控制台?如果我将上传密钥库和密码发布到版本控制,如果出现问题,可以选择切换到新的私有密钥库。
【问题讨论】:
标签: android google-play android-keystore
您处理密钥库的方式非常个人化,但专门使用密码将其发布到源代码管理中并不是一个好主意。
您说的只有您可以将 apk 上传到您的帐户是对的,但是您的帐户可能会由于各种原因被入侵,因此最好有第二步为您的帐户上传任何 apk。
当我加入一个团队时,由于我们有一个私有源代码控制,我们将密钥库与我们的代码库一起上传。但是密码是通过1password管理的。
现在我独自工作,我自己处理我的密钥库。
关于您更改密钥库的问题。这不可能。这是您上传 apk 后无法更改的两件事:包和密钥库。这样做是出于安全原因。
您可以在这里获得更多信息:https://developer.android.com/training/articles/keystore.html
【讨论】:
正如@jonathanrz 所说,最好将您的密钥库文件保密。
使用gradle.properties 文件来存储您的密钥库密码非常容易,然后只需在您的build.gradle 文件中引用属性值。
请记住用你的生命保护密钥库文件,在多个地方保存它们的备份,如果你丢失它们,你将不得不重新上传你的应用程序。
【讨论】:
我会回答我自己的问题(基于Reddit discussion)。
要更改上传密钥库,您需要contact Google 支持并请求重置。这不是最简单的选择,但拥有一个仍然很好。
看不到将上传证书及其密码保存在私有存储库中的大问题。只要无法自动推送生产版本,这听起来就足够安全,而且还简化了 Alpha / Beta 版本的分发。
有些人有理由担心,通过与 Google 共享发布密钥库,它可能会被泄露或被 Google 用于将恶意代码集成到您的应用中。但发生这种情况的可能性非常小,只要您不在 Facebook 或其他非常受欢迎的应用程序上工作,依靠 Google 应该足够安全。
【讨论】: