代码签名
代码签名是一种用来证明应用是由你创建的一种安全技术。
macOS 系统能通过代码签名检测对app的任何修改,包括意外修改和来自恶意代码的修改。
在Windows上,系统给您的代码签名证书 指定信任等级,如果您没有,则给您指定信任等级。 或者如果您的信任等级很低,在用户开始使用您的应用程序时,将导致出现安全 对话框。 信任级别随着时间的推移构建,因此最好尽早开始代码签名。
即使开发者可以发布一个未签名的应用程序,但是我们并不建议这样做。 Windows 和 macOS 默认都会阻止下载或执行 未签名应用程序。 从 macOS Catalina (版本 10.15) 开始,用户 必须经过多个手动步骤才能打开未签名的应用程序。
如你所见,用户有两个选择:直接删除应用或者取消运行。 你不会想让用户看见该对话框。
如果你正在开发一款Electron应用,并打算将其打包发布,那你就应该为其添加代码签名。
签名 & 认证 macOS 版本
正确准备 macOS 应用程序的发布需要两个步骤:首先,应用程序需要签名。 然后,应用程序需要上传到苹果,然后才能进行名为“公证”的过程, 自动化系统将会进一步验证您的应用没有做任何事情来危及其用户。
若要启动进程,请确保您满足签名要求并 认证您的应用:
- 加入 Apple Developer Program(需要缴纳年费)
- 下载并安装 Xcode - 这需要运行macOS 的计算机。
- 生成,下载,然后安装签名证书(signing certificates)
Electron 的生态系统有利于配置和自由,所以有多种方法让您的应用程序签名和公证。
electron-forge
如果您正在使用 Electron 的最喜欢的构建工具,让您的应用程序签名 并经过公证需要对您的配置进行一些添加。 Forge 是官方的 Electron 工具的 集合,在hood下使用 electron-packager
electron-osx-sign
electron-notarize
。
让我们看看一个所有必需字段的示例配置。 并不是所有都是必需的:工具非常聪明足以自动找到合适的 identity
, 例如,但我们建议你明白无误。
{
"name": "my-app",
"version": "0.0.1",
"config": {
"forge": {
"packagerConfig": {
"osxSign": {
"identity": "Developer ID Application: Felix Rieseberg (LT94ZKYDCJ)",
"hardened-runtime": true,
"entitlements": "entitlements.plist",
"entitlements-inherit": "entitlements.plist",
"signature-flags": "library"
},
"osxNotarize": {
"appleId": "felix@felix.fun",
"appleIdPassword": "my-apple-id-password",
}
}
}
}
}
此处引用的 plist
文件需要以下的 macOS 特定权限来保证您的应用正在做这些事情的苹果安全机制并不意味着任何伤害:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple/DTD PLIST 1.0//EN" "http://www. ple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.security.cs. llowjit</key>
<true/>
<key>com.apple.security.cs. llow-unsigned-executable-memory</key>
<true/>
<key>com。 ple.cs.debugger</key>
<true/>
</dict>
</plist>
要查看所有这些都在操作中,请查看 Electron Fiddle 的源代码,尤其是其 electron-forge
配置文件。
如果您打算在应用中使用 Electron 的 API 访问麦克风或摄像头,您还需要添加以下权限:
<key>com.apple.security.device.audio-input</key>
<true/>
<key>com.apple.security.device.camp</key>
<true/>
如果您使用时您的应用应享待遇中不存在这些内容,例如:
const { systemPreferences } = require('electron')
const microphone = systemPreference.askForMediaAccess('microphone')
您的应用可能会崩溃。 在 Hardened Runtime 中查看资源访问部分以获取更多信息和您可能需要的权限。
electron-builder
Electron Builder 带有一个自定义解决方案用于签署您的应用程序。 你可以在这里找到 它的文档
electron-packager
如果你没有使用像Forge或Builder这样的集成构建水道, 您 可能使用 electron-packer
其中包括 electron-osx-signe
electron-公证
.
如果您正在使用Packager的 API,您可以通过配置 来签名并对您的应用程序进行公证
const packer = require('electron-packer')
packer(
dir: '/path/to/my/app',
osxSign: v.
identity: 'Developer ID Application: Felix Rieseberg (LT94ZKYDCJ)',
'硬运行时间':true,
应享权利: '应享权利。 list',
'应享权利-继承': '应享权利。 list',
'signature-flags': 'library'
},
osxNotarize: }
appleId: 'felix@felix. un',
AppleIdPassword: 'my-apple-id-password'
}
})
此处引用的 plist
文件需要以下的 macOS 特定权限来保证您的应用正在做这些事情的苹果安全机制并不意味着任何伤害:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple/DTD PLIST 1.0//EN" "http://www. ple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>com.apple.security.cs. llowjit</key>
<true/>
<key>com.apple.security.cs. llow-unsigned-executable-memory</key>
<true/>
<key>com。 ple.cs.debugger</key>
<true/>
</dict>
</plist>
Mac App Store
See the Mac App Store Guide.
签署windows应用程序
在签署Windows应用程序前,你需要完成以下事项:
- 获取一个 Windows 身份验证码签名证书 (需要年度费用)
- 安装 Visual Studio 以获取签名工具 (免费 社区版 已足够)
您可以从许多转售商获得代码签名证书。 价格各异,所以值得你花点时间去货比三家。 热门转销商包括:
你可以运用许多方式来签署你的应用:
electron-winstaller
将为窗口生成一个安装程序并为您签名electron-forge
可以签署它通过 Squirel.Windows 或 MSI目标生成的安装程序。electron-builder
can sign some of its windows targets