最近有写 gradle 脚本打包 apk，于是不可避免地接触到了命令行，其实也直接可以通过 Android Studio 来进行打包，但为了方便拓展，比如多渠道打包，签名以及瘦身之类的。
记录一下，用到的命令，方便遗忘时找回（文中链接有的需要翻墙）。

1.应用签名

通过应用签名，开发者可以标识应用创作者并更新其应用，而无需创建复杂的接口和权限。在 Android 平台上运行的每个应用都必须有开发者的签名。 Google Play 或 Android 设备上的软件包安装程序会拒绝没有获得签名就尝试安装的应用。
详情请见 应用签名。

2.签名工具

注意：如果您在使用 apksigner 为 APK 签名后又对 APK 做了更改，则 APK 的签名将会失效。因此，要使用 zipalign 等工具，您必须在为 APK 签名之前使用。

3.APK签名方案

在 Android7.0 引入了 jdk7 才支持的 V2 签名（v2 Scheme APK Signatur），这一签名不需要对所有文件进行摘要计算、且增加了 APK 签名分块并且该分块有特定格式，所以，使用 V2 签名后，apk 的安装速度与完整性保障都有不错的提升；然而，由于需要兼容旧版本，V1 签名（v1 Scheme JAR Signing）不能完全去掉。

3.1 V1签名

• 来自JDK(jarsigner), 对zip压缩包的每个文件进行验证, 签名后还能对压缩包修改(移动/重新压缩文件)
• 对V1签名的apk/jar解压,在META-INF存放签名文件(MANIFEST.MF, CERT.SF, CERT.RSA),
• 其中MANIFEST.MF文件保存所有文件的SHA1指纹(除了META-INF文件), 由此可知: V1签名是对压缩包中单个文件签名验证
  jarsigner命令详解

3.1.1方法一(jarsigner,只支持V1签名)
从 JDK7 开始, jarsigner 默认算法是 SHA256, 但 Android 4.2 以下不支持该算法,
所以需要修改算法, 添加参数 -digestalg SHA1 -sigalg SHA1withRSA

用法：
jarsigner -keystore 密钥库名 -digestalg SHA1 -sigalg SHA1withRSA xxx.apk 密钥别名
参数:   -digestalg 摘要算法
        -sigalg 签名算法

用 JDK7 及以上 jarsigner 签名,不支持 Android 4.2 以下 
jarsigner -keystore debug.keystore MyApp.apk androiddebugkey

用 JDK7 及以上 jarsigner 签名,兼容 Android 4.2 以下 
jarsigner -keystore debug.keystore -digestalg SHA1 -sigalg SHA1withRSA MyApp.apk androiddebugkey

实战：
jarsigner -sigalg MD5withRSA -digestalg SHA1 -keystore keystore .jks -storepass 密码 -keypass 密码 -signedjar signPath.apk unSignPath.apk 密钥别名

3.1.2方法二(apksigner,默认同时使用V1和V2签名)

用法：
apksigner sign –ks 密钥库名 –ks-key-alias 密钥别名 xxx.apk

若密钥库中有多个密钥对,则必须指定密钥别名 
apksigner sign –ks 密钥库名 –ks-key-alias 密钥别名 xxx.apk

禁用V2签名 
apksigner sign --v2-signing-enabled false --ks 密钥库名 xxx.apk
参数: –ks-key-alias 密钥别名,若密钥库有一个密钥对,则可省略,反之必选
      –v1-signing-enabled 是否开启 V1 签名,默认开启
      –v2-signing-enabled 是否开启 V2 签名,默认开启

 例如: 
 在 debug.keystore 密钥库只有一个密钥对 
apksigner sign --ks debug.keystore MyApp.apk

 在 debug.keystore 密钥库中有多个密钥对,所以必须指定密钥别名 
//apksigner -verbose -keystore (签名地址) -signedjar (签名后的apk地址) (待签名apk地址) (别名)
apksigner sign --ks debug.keystore --ks-key-alias androiddebugkey MyApp.apk

3.2 zipalign优化

zipalign 是一个归档对齐工具，确保所有未压缩的数据都以相对于文件开始的特定对齐方式开始, 减少了运行应用程序时消耗的 RAM 数量。

归档对齐优化:
zipalign -f -v 4 sample_unalign.apk sample_zipalign.apk
参数：
-f : overwrite existing outfile.zip
-v : verbose output
-p : outfile.zip should use the same page alignment for all shared object files within infile.zip
-c : confirm the alignment of the given file

确认 sample_zipalign.apk 是否已经 zipalign 排列过：
zipalign -c -v 4 sample_zipalign.apk

注意：如果使用 jarsigner 对 APK 文件签名，则只能在 APK 签名之后进行归档优化。
     如果使用 apksigner 对 APK 文件签名，则在签名前使用 zipalign 进行归档对齐优化，否则签名无效。
     所以，对于签名v1、v2、zipalign对齐的顺序是：v1----zipalign对齐----v2

3.3 V2签名

APK 签名方案 v2 是一种全文件签名方案，该方案能够发现对 APK 的受保护部分进行的所有更改，从而有助于加快验证速度并增强完整性保证。详情请见 APK 签名方案 v2 。

3.3.1 V2签名

• 来自 Google(apksigner) , 对 zip 压缩包的整个文件验证, 签名后不能修改压缩包(包括 zipalign ),
• 对 V2 签名的 apk 解压,没有发现签名文件,重新压缩后 V2 签名就失效, 由此可知: V2 签名是对整个 APK 签名验证。

3.3.2 V2 签名优点：

• 签名更安全(不能修改压缩包)
• 签名验证时间更短(不需要解压验证),因而安装速度加快

3.3.3 基本使用 ！！！：
apksigner 命令详解

apksigner 工具默认同时使用 v1 和 v2 签名，兼容 android7.0 以前版本。

对 apk 进行签名：
// apksigner sign --ks (签名地址) --ks-key-alias (别名) --out (签名后的 apk 地址) (待签名 apk 地址)
java -jar APK_SIGNER_LIB_PATH sign -ks <filename>.keystore --ks-key-alias <alias-name> --ks-pass pass:<password> --key-pass pass:<password> --out sample_signed.apk sample.apk

注：可能我的电脑是 Win 系统，需要 “java -jar” 开头，还需要配置路径
    mac 的话直接 apksigner + sign ...
    配置文件 APK_SIGNER_LIB_PATH=E\:/Android/sdk/build-tools/30.0.2/lib/apksigner.jar

查看签名信息：
apksigner verify -v --print-certs sample_signed.apk

查看签名证书信息：
keytool -printcert -jarfile MyApp.apk

使用美团 Walle 多渠道打包
java -jar walle-cli-all.jar batch -c yingyongbao,baidu,qh360 sample_signed.apk

查看apk信息
aapt dump badging sample_signed.apk

查看密钥库
keytool -list -v -keystore debug.keystore

3.4 V3签名

Android 9 支持 APK 密钥轮替，这使应用能够在 APK 更新过程中更改其签名密钥。为了实现轮替，APK 必须指示新旧签名密钥之间的信任级别。为了支持密钥轮替，我们将 APK 签名方案从 v2 更新为 v3，以允许使用新旧密钥。v3 在 APK 签名分块中添加了有关受支持的 SDK 版本和 proof-of-rotation 结构的信息。
详情请见 APK 签名方案 v3 。

最后，参考链接：

Android APK手动签名
Android中APK签名工具之jarsigner和apksigner详解
Google 官网-应用签名