让.保罗.萨特曾说过：现实的精华就是匮乏，一种普遍而永恒的欠缺。人生重要的不是填补一种不完美，而是找到自己的位置。

iOS签名机制

iOS 平台对第三方 APP 有绝对的控制权，一定要保证每一个安装到 iOS 上的 APP 都是经过苹果官方允许的，所使用的就是苹果的签名机制。苹果签名使用的是非对称加密技术，非对称加密有两份密钥，分别是公钥和私钥，用公钥加密的数据，要用私钥才能解密，用私钥加密的数据，要用公钥才能解密。比较常见的非对称加密算法就是RSA。

RSA的基本实现原理如下：

第一步，随机选择两个不相等的质数p和q
第二步，计算p和q的乘积n
第三步，计算n的欧拉函数φ(n)

φ(n) = (p-1)(q-1)

第四步，随机选择一个整数e，条件是1< e < φ(n)，且e与φ(n) 互质。
第五步，计算e对于φ(n)的模反元素d（就是指有一个整数d，可以使得ed被φ(n)除的余数为1）

ed ≡ 1 (mod φ(n))    ==   ed - 1 = kφ(n)

于是，找到模反元素d。（用"扩展欧几里得算法"求解）

第六步，将n和e封装成公钥，n和d封装成私钥

私钥被破解，需要大整数的因数分解，是一件非常困难的事情。目前，除了暴力破解，还没有发现别的有效方法。对极大整数做因数分解的难度决定了RSA算法的可靠性。

App的安装方式有四种：

1. 通过App Store安装

由苹果生成一对公私钥，公钥内置iOS设备中，私钥由苹果保管。开发者上传App给苹果审核后，苹果用私钥对App数据进行签名，使用的是发布证书，发布至App Store。iOS设备下载App后，用公钥进行验证，若正确，则证明App是由苹果认证过的。

2. 开发者可以通过Xcode安装

苹果采用了双重签名的机制。Mac电脑有一对公私钥，苹果还是原来的一对公私钥。

开发时需要真机测试时，需要从钥匙串中的证书中心创建证书请求文件（CSR CertificateSigningRequest.certSigningRequest 用于绑定电脑，文件中有Mac电脑的公钥），并传至苹果服务器。

Apple使用私钥对 CSR 签名，生成一份包含Mac公钥信息及Apple对它的签名，被称为证书（CER：即开发证书，发布证书），这里使用的是开发证书。

编译完一个App后，Mac电脑使用私钥对App进行签名。

在安装App时，根据当前配置把CER证书一起打包进App。

iOS设备通过内置的Apple的公钥验证CER是否正确，证书验证确保Mac公钥时经过苹果认证的。

再使用CER文件中Mac的公钥去验证App的签名是否正确，确保安装行为是经过苹果允许的。在苹果注册过的设备才可以安装；签名只针对某一个App。打包证书进App中时，还需要加上允许安装的设备ID和App对应的APPID等数据（Profile文件）。

苹果还要控制iCloud/push/后台运行等，这些都需要苹果授权签名，苹果把这些权限开关统称为：Entitlements，需要苹果授权。因此证书中可能包含很多东西，不符合规定的格式规范，所以有了Provisioning Profile（描述文件），描述中包含了证书以及其他所有的信息及信息的签名。

苹果只是确定这里的安装行为是否合法，不会验证App内容是否修改。根据数字签名的原理，只要数字签名通过验证，这里的设备 IDs / AppID / Mac公钥 就都是经过苹果认证的，无法被修改，苹果就可以限制可安装的设备和App。

3. Ad-Hoc 测试证书打包的App，数量限制100

Ad-Hoc可以用发布证书打测试包，流程几乎和上面的真机调试一样，唯一的差别在第4步。编译签名完之后，要导出ipa文件，导出时，需要选择一个保存的方法（App Store/Ad Hoc/Enterprise/Development），就是选择将上一步生成的CER一起打包进App。

4. In-House 企业版证书打包App，信任企业证书后可以使用

企业版证书签名验证流程和Ad-Hoc差不多，需要用企业版证书签名。只是企业版不限制设备数，而且需要用户在iOS设备上的设置里手动点击信任证书。

最终流程如下：

其他人想要编译签名App时应怎么做? 简单就是把私钥给他。私钥也是从 钥匙串 中导出，就是.p12文件，其他Mac导入私钥后就可以正常使用了。

查看ipa包中注册的设备ID，解压.ipa文件，得到App数据包，显示包内容，找到embedded.mobileprovision文件所在目录，运行命令：

security cms -D -i embedded.mobileprovision

重签

从上面的原理，我们知道，如果想看别人的App，需要他们的.P12文件，如果拿不到别人的.P12文件，咋整呢。那就只能自己整了。

第一种方式：
从PP助手等破解平台下载ipa包，这里能找到的包，几乎都是已经重签过的，可以随心所用。

第二种方式：
稍显复杂，根据上面描述，找到自己打的ipa包的embedded.mobileprovision文件。然后安装sigh脚本

sudo gem install sigh

报错使用下面命令

sudo gem install -n /usr/local/bin sigh

如此，便可使用sigh重签名了。

1、在终端输入sigh resign，回车
2、把要签名的ipa文件（路径、包名不要有中文）拖到终端窗口上，回车
3、填写用来签名的证书（第一步中的证书）名如图（钥匙串中的完整名字），回车
4、把项目的配置文件.mobileprovision文件（第二步中的文件）拖到终端窗口上，回车
5、resign脚本会自动更改bundel id，签名并重新打包。

完成后提示Successfully signed，新生成的包会自动替换原有文件。