到目前为止,我们一直在将aab捆绑包上传到Google Play,并且(尽管我们现在正在使用Google Play进行的应用签名),我们也在上传aab捆绑包之前对其进行了代码签名,如下所示:
signingConfigs {
debug {
storeFile file('debug.keystore')
storePassword 'android'
keyAlias 'androiddebugkey'
keyPassword 'android'
}
release {
if (System.getenv()["CI"]) { // CI=true is exported by our CI
storeFile file(System.getenv()["CI_KEYSTORE_PATH"])
storePassword System.getenv()["CI_KEYSTORE_PASSWORD"]
keyAlias System.getenv()["CI_KEY_ALIAS"]
keyPassword System.getenv()["CI_KEY_PASSWORD"]
}
}
我们最近决定迁移到另一个CI(github上的动作),所以我们想知道是否仍然需要对发布的aab文件进行代码签名(从而处理了将秘密上传到(新的CI等)。自我们启用了Google Play签名,并且Google仍然为我们处理签名。
[我们可以不使用debug signingConfig还是更好的方法,而根本不对其进行代码签名,并让Google Play在发行时处理它?
p.s我们将使用fastlane构建和部署我们的react-native项目。
您可能知道,应用程序签名密钥非常重要,因为它不容易更改,并且一旦被盗用,您的许多用户将处于危险之中。
现在Google正在对APK进行签名,如果您仍然拥有该应用的签名密钥,则应确保使用受限制的ACL将其保存在安全的位置,并且不再需要对其进行任何签名。
使用通过Google Play进行应用签名可以使用其他密钥(称为上传密钥)对应用捆绑包进行签名。尽管不是强制性的,但建议您利用此功能,因为它可以使您的应用签名密钥保持安全,并且仅使用上传密钥对上传到Play控制台的App Bundle进行签名。有关此键的更多信息,请点击:https://support.google.com/googleplay/android-developer/answer/7384423
如果上传密钥被泄露或丢失,您可以简单地请求Google创建一个新密钥,这不会影响您的用户。
[请注意,所有应用捆绑包都必须在上传到Play控制台后进行签名(并且不能是调试证书),因此,除非您构建的捆绑包仅用于测试,并且您无意将其上传要播放,请务必对其进行签名(最好使用上传密钥)。
希望有所帮助,