android api 签名是什么意思

android api 签名是什么意思

首先我们得知道什么是摘要，摘要是指采用单向Hash函数对数据进行计算生成的固定长度的Hash值，摘要算法有Md5，Sha1等，Md5生成的Hash值是128位的数字，即16个字节，用十六进制表示是32个字符，Sha1生成的Hash值是160位的数字，即20个字节，用十六进制表示是40个字符。我们是不能通过摘要推算出用于计算摘要的数据，如果修改了数据，那么它的摘要一定会变化(其实这句话并不正确，只是很难正好找到不同的数据，而他们的摘要值正好相等)。摘要经常用于验证数据的完整性，很多下载网站都会列出下载文件的md5值或者sha1值。

摘要和签名没有任何关系，网上常常将摘要和签名混为一谈，这是错误的。签名和数字签名是同一个概念，是指信息的发送者用自己的私钥对消息摘要加密产生一个字符串，加密算法确保别人无法伪造生成这段字符串，这段数字串也是对信息的发送者发送信息真实性的一个有效证明。其他发送者用他们的私钥对同一个消息摘要加密会得到不同的签名，接收者只有使用发送者签名时使用的私钥对应的公钥解密签名数据才能得到消息摘要，否则得到的不是正确的消息摘要。

数字签名是非对称密钥加密技术+数字摘要技术的结合。

数字签名技术是将信息摘要用发送者的私钥加密，和原文以及公钥一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的信息摘要，然后接收者用相同的Hash函数对收到的原文产生一个信息摘要，与解密的信息摘要做比对。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改；不同则说明信息被修改过，因此数字签名能保证信息的完整性。并且由于只有发送者才有加密摘要的私钥，所以我们可以确定信息一定是发送者发送的。

另外还需要理解一个概念：数字证书。数字证书是一个经证书授权中心数字签名的包含公钥及其拥有者信息的文件。数字证书的格式普遍采用的是X.509V3国际标准，一个标准的X.509数字证书包含以下一些内容：证书的版本信息:

1)证书的序列号，每个证书都有一个唯一的证书序列号；

2)证书所使用的签名算法；

3)证书的发行机构名称，命名规则一般采用X.500格式；

4)证书的有效期，通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

5)证书所有人的名称，命名规则一般采用X.500格式；

6)证书所有人的公开密钥；

7)证书发行者对证书的签名。

CERT.RSA包含了数字签名以及开发者的数字证书。CERT.RSA里的数字签名是指对CERT.SF的摘要采用私钥加密后的数据，Android系统安装apk时会对CERT.SF计算摘要，然后使用CERT.RSA里的公钥对CERT.RSA里的数字签名解密得到一个摘要，比较这两个摘要便可知道该apk是否有正确的签名，也就说如果其他人修改了apk并没有重新签名是会被检查出来的。

需注意Android平台的证书是自签名的，也就说不需要权威机构签发，数字证书的发行机构和所有人是相同的，都是开发者自己，开发者生成公私钥对后不需要提交到权威机构进行校验。

android api 签名是api调用的时候需要按照约定的参数生成一个字符串，对方接收到后校验参数，合法后接受请求并返回结果。