Android Studio gradle 技巧一 重要信息脱敏

最新推荐文章于 2023-08-13 10:30:00 发布
原创 最新推荐文章于 2023-08-13 10:30:00 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android studio #gradle #脱敏 #BuildConfig

博客介绍了Android开发中信息脱敏的方法。包括优雅设置签名信息,通过创建keystore.properties文件并在build.gradle引用实现脱敏;还阐述了利用BuildConfig在Java和manifest文件共享参数,实现第三方信息脱敏,同时介绍了BuildConfig区分编译类型的厉害功能。

文章目录

开个头

众所周知,android的签名文件(.jks 或者 .keystore)很重要。一般我们配置签名文件的写法是直接在app build.gradle文件里进行明文配置。不是很优雅。
还有我们对接第三方的时候,会申请一些appkey或者appSecret,一般也是会直接出现在代码里,不是很安全。

不优雅的配置签名信息
app build.gradle
android{
	...
	 signingConfigs {
        debug {
            storeFile file("xxx.jks") //签名文件路径
            storePassword "xxx"//仓库密码
            keyAlias "xxx"//别名
            keyPassword "xxx" //签名密码
        }
        release {
            storeFile file("xxx.jks") //签名文件路径
            storePassword "xxx"//仓库密码
            keyAlias "xxx" //别名
            keyPassword "xxx" //签名密码
        }
    }
	...
}

不优雅地设置第三方key
在某java文件中明文

    // APP_ID 替换为你的应用从官方网站申请到的合法appID
    private static final String APP_ID = "xxxxxx";

    // IWXAPI 是第三方app和微信通信的openApi接口
    private static IWXAPI api;

    //向微信注册 appId
    public static void registToWX() {
        // 通过WXAPIFactory工厂,获取IWXAPI的实例
        api = WXAPIFactory.createWXAPI(MyApp.getApplication(), APP_ID, false);
        // 将应用的appId注册到微信
        api.registerApp(APP_ID);
    }

或者在manifest.xml中明文

<!-- 高德地图START -->
<meta-data
    android:name="com.amap.api.v2.apikey"
    android:value="xxxxxxx" />
<!-- 高德地图END -->

解决方法

优雅地设置签名信息
1.创建keystore.properties

在项目根目录下,创建keystore.properties文件。文件里配置签名文件信息。
默认你已经在项目根目录下,创建了一个签名文件

# about keystore
storeFile=xxx.jks
storePassword=xxx
keyAlias=xxx
keyPassword=xxx
2.在build.gradle文件里引用.properties文件

在 app build.gradle文件里引用刚创建好的keystore.properties文件。

...
// Create a variable called keystorePropertiesFile, and initialize it to your
// keystore.properties file, in the rootProject folder.
def keystorePropertiesFile = rootProject.file("keystore.properties")

// Initialize a new Properties() object called keystoreProperties.
def keystoreProperties = new Properties()

// Load your keystore.properties file into the keystoreProperties object.
keystoreProperties.load(new FileInputStream(keystorePropertiesFile))
android{
	...
}
...
3.优雅地设置
...
android{
	...
	//开发中为了方便测试,debug的签名文件和release的签名文件,用的是一套。。。
	signingConfigs {
        release {
            storeFile file(keystoreProperties['storeFile'])
            storePassword keystoreProperties['storePassword']
            keyAlias keystoreProperties['keyAlias']
            keyPassword keystoreProperties['keyPassword']
        }
        debug {
            storeFile file(keystoreProperties['storeFile'])
            storePassword keystoreProperties['storePassword']
            keyAlias keystoreProperties['keyAlias']
            keyPassword keystoreProperties['keyPassword']
        }
    }
}
...

经过以上步骤,我们的签名文件已经脱敏。可以大胆的把项目上传到远程仓库(把签名文件 加入 .ignore)

优雅地设置第三方key

有了上面的基础,我们已经可以实现在build.gradle里面实现进行信息脱敏,所以,现在我们只要能实现在java文件和manifest文件中拿到build.gradle文件中的变量值,这样就可以实现将java文件和manifest文件中的第三方信息脱敏。

在Java文件和manifest文件中共享参数
BuildConfig

简单介绍下BuildConfig这个类,下面的代码块是BuildConfig默认的一些值。
1.这个类是编译时gradle帮我们自动生成的一个类(方便维护,或者说不需要我们维护)
2.这个类里面的值都是静态常量 (方便调用)
3.这个类会根据Build类型(debug/release)来给常量赋值 (这个功能比较厉害,下面单独说)

/**
 * Automatically generated file. DO NOT MODIFY
 */
package com.example.xxxx;

public final class BuildConfig {
  public static final boolean DEBUG = Boolean.parseBoolean("true");
  public static final String APPLICATION_ID = "com.example.xxx";
  public static final String BUILD_TYPE = "debug";
  public static final String FLAVOR = "";
  public static final int VERSION_CODE = 1;
  public static final String VERSION_NAME = "1.0";
}
1在keystore.properties里面定义参数

在这个文件中#表示注释。
在这个文件里面字符串不要用双引号""包裹。

# about keystore
storeFile=xxx.jks
storePassword=xxx
keyAlias=xxx
keyPassword=xxx
##################################################
# about custom value
#------------------高德地图apiKey------------------
aMapApiKey=xxxxxxxxxx
#------------------   微信分享   ------------------
weChatAppId=xxxxxxxx
2在build.gradle里拿到.properties里的值

app build.gradle

// Create a variable called keystorePropertiesFile, and initialize it to your
// keystore.properties file, in the rootProject folder.
def keystorePropertiesFile = rootProject.file("keystore.properties")

// Initialize a new Properties() object called keystoreProperties.
def keystoreProperties = new Properties()

// Load your keystore.properties file into the keystoreProperties object.
keystoreProperties.load(new FileInputStream(keystorePropertiesFile))
android{
	...
	 //获取 高德地图apiKey
     def aMapApiKey = keystoreProperties['aMapApiKey']
     //获取 微信分享appId
     def weChatAppId = keystoreProperties['weChatAppId']
     //给BuildConfig类里面添加自定义参数
     buildConfigField("String", "weChatAppId", "\"${weChatAppId}\"")
     //创建一个可以在manifest中使用的参数
     manifestPlaceholders = [
                aMapApiKey : "${aMapApiKey}",
     ]
     signingConfigs {
     ...
	 }
}

设置完了后,编译一下我们的项目然后进入BuildConfig类里看一下。gradle已经帮我们把值设置进去了。

/**
 * Automatically generated file. DO NOT MODIFY
 */
 //如果你的项目中依赖了多个library注意看这个包路径。找到app对应的BuildConfig。每个library都会生成自己的BuildConfig
package com.example.xxxx;

public final class BuildConfig {
  public static final boolean DEBUG = Boolean.parseBoolean("true");
  public static final String APPLICATION_ID = "com.example.xxx";
  public static final String BUILD_TYPE = "debug";
  public static final String FLAVOR = "";
  public static final int VERSION_CODE = 1;
  public static final String VERSION_NAME = "1.0";
  // Fields from default config.
  public static final String weChatAppId = "xxx";
}
3在.java代码中使用
 	// APP_ID 替换为你的应用从官方网站申请到的合法appID
 	//这里就直接用BuildConfig.weChatAppId 来获取我们设置在.properties文件中微信的AppId
    private static final String APP_ID = BuildConfig.weChatAppId;

    // IWXAPI 是第三方app和微信通信的openApi接口
    private static IWXAPI api;

    //向微信注册 appId
    public static void registToWX() {
        // 通过WXAPIFactory工厂,获取IWXAPI的实例
        api = WXAPIFactory.createWXAPI(MyApp.getApplication(), APP_ID, false);
        // 将应用的appId注册到微信
        api.registerApp(APP_ID);
    }
4在manifest中使用
 <!-- 高德地图 apiKey -->
        <meta-data
            android:name="com.amap.api.v2.apikey"
            android:value="${aMapApiKey}" />

我们看下manifest文件编译前后的对比。比较一目了然。
在这里插入图片描述

BuildConfig厉害的功能

我在开发中,测试和上线的时候,经常会改一些配置项。有时候打完包了正式包才发现一些配置忘了修改。我之前是在配置项之前加上TODO,每次打包之前都看下TODO,然后修改对象的配置项,比较的麻烦。如下图。
在这里插入图片描述
有了BuildConfig之后,就方便多辣

app build.gradle

...
android{
	...
	buildTypes {
        release {
            buildConfigField("boolean", "IS_DEBUG", "false")
            minifyEnabled false
            proguardFiles getDefaultProguardFile('proguard-android.txt'), 'proguard-rules.pro'
        }
        debug {
            buildConfigField("boolean", "IS_DEBUG", "true")
        }
    }
}
...

然后我们直接在代码中根据BuildConfig.IS_DEBUG的值来判断是debug版本还是release版本就好了。
比如,这个bugly,我们开发过程中生成的bug,真的不用上传上去给主管看到。。。

//TODO bugly 配置是否上传崩溃日志
//之前每次测试和发布产品的时候都要手动改这个boolean值,很麻烦。
CrashReport.initCrashReport(getApplicationContext(), appId, false);

//TODO bugly 配置是否上传崩溃日志
//以后测试和发布的时候,再也不用管辣
CrashReport.initCrashReport(getApplicationContext(), appId, !BuildConfig.IS_DEBUG);

下图可以看到debug 和 release 下BuildConfig里面的值得变化。
在这里插入图片描述
这个只是作为一个例子来理解BuildConfig的妙用,其实可以看到BuildConfig自带一个BUILD_TYPE来区分编译类型。不需要我们额外自定义参数。
在我们的开发中还会遇到多版本或者多渠道打包(就是多flavors的时候),这时候如果渠道区分版本或者渠道,这时候BuildConfig就派上大用场辣。这个也不是本篇的重点,先轻描淡写。想了解多渠道打包的可以google官方开发者文档介绍

参考资料

google官方开发者文档
还有默默无闻的大佬们

如有错误,欢迎指正!

Android获取敏感信息整改---基于Xposed的方法检测
DeMonnnnnn
04-27 5365
前言 前段时间315针对获取敏感的隐私信息(MAC地址)第次要求整改时,我们使用了如下方案: 将已知的友盟SDK放在同意隐私权限后再初始化。 使用Hook&反射去拦截可能存在的其他第三方调用。 但是整改提交审核20多天后还是被下架了,我们只能认为: Hook&反射去拦截的方案是无效的,检测时只要调用获取MAC的方法就会被认为是违规的。 因此我们需要把App首次启动时所有会调用获取MAC的方法,放在同意隐私权限后再初始化。 但是App启动时会默认初始化几十个库&第三方服务,我
拿去用吧:android 数据脱敏工具类
qq_36162336的博客
04-07 1218
package com.bobfintech.module_base.util; import android.text.TextUtils; /** * @author let * @description 数据脱敏工具类 * @date 2021/4/7 */ public final class SensitiveInfoUtils { /** * [中文姓名] 如果长度为2,后位隐藏为星号<例子:李*>,如果长度>2,中间隐藏为星号<例子.
keystore.properties 配置
hpp_1225的博客
10-21 4592
秘钥丢失或泄漏: 1.无法发布已有应用的更新,签名文件不同导致无法覆盖安装 2,被人重新打包,添加私活,偷偷获取用户数据等 从编译文件中移除签名信息 android 保障密钥的安全 keystore.properties - Welcome My Blog! - OSCHINA - 中文开源技术交流社区 关于签名文件的知识总结 - zhangmiao14 - 博客园 在您创建签名配置时,Android Studio 会以纯文本形式将您的签名信息添加到模块的build.gradl...
key文件信息等隐藏设置(keystore.properties
m0_37678565的博客
10-17 4995
在当前目录下创建keystore.properties文件 storePassword=123456 keyPassword=123456 keyAlias=。。。 storeFile=E:/mul.jks 在build.gradle中加入: signingConfigs { config { keyAlias keystoreProperties['
Android个人信息脱敏操作
Pain的博客
12-07 2666
刚步入工作在项目中学到的,记录下防止以后忘掉,毕竟好记性不如烂笔头。 // Android个人信息脱敏操作 String phone = 1111111111; String FORMAT_PHONE_NUMBER_REGEX = "(\\d{3})\\d{4}(\\d{4})"; String REPLACEMENT = "$1****$2";//$代表()$后边的数字代表第几个() private String formMatPhoneNumber(String number) {
日志脱敏-参考
m0_48333563的博客
07-15 3045
参考
Android Studio使用deepseek
最新发布
01-09
4. **开发个基于DeepSeek的Android应用**:即开发者使用Android Studio作为开发工具,构建个以DeepSeek为核心能力的移动应用,如AI助手、智能客服、内容创作工具等。 --- ### 二、技术背景与可行性分析 #### ...
Android日志与崩溃信息上传解决方案
最后,压缩包内的文件夹名称“log_damel-master”表明这是个开源项目的Git仓库主分支快照,可能包含完整的工程代码目录结构,如src/、res/、AndroidManifest.xml、build.gradle等,供开发者导入Android Studio直接...
基于Android的实时业务信息报告系统
Yuwon LCD是基于Android的准确且可在线访问的”这项目标题揭示了个面向企业信息化管理的移动应用系统,其核心目标是通过Android平台实现业务信息的实时报告与在线访问,从而推动企业管理流程的数字化、无纸化和...
基于android的掌上医疗系统的开发
03-01
【标题】"基于Android的掌上医疗系统的开发"是个典型的移动应用开发项目,主要目标是构建个能够在Android设备上运行的医疗信息系统。这样的系统通常包括病历管理、药品信息查询、健康监测、预约挂号等功能,旨在...
步步带你入门Android电量信息】:实例代码编写与应用
[【步步带你入门Android电量信息】:实例代码编写与应用](https://neovolt.ru/img/cms/blog-2020/07-12-2020-5.jpg) # 摘要 随着智能设备的普及,Android电量信息的有效管理成为用户和开发者日益关注的焦点。本文...
使用log4j2实现日志数据脱敏
05-08
使用log4j2实现日志数据脱敏
项目中手机、姓名、身份证信息等在日志和响应数据中脱敏操作
liuqinhou的博客
08-17 659
数据脱敏
这个开源组件太强了,仅需三步完成 SpringBoot 日志脱敏
这个时代,作为程序员可能要学习小程序
07-29 493
点击上方关注 “终端研发部”设为“星标”,和你起掌握更多数据库知识前言在我们书写代码的时候,会书写许多日志代码,但是有些敏感数据是需要进行安全脱敏处理的。对于日志脱敏的方式有很多,常见的有①使用conversionRule标签,继承MessageConverter②书写脱敏工具类,在打印日志的时候对特定特字段进行脱敏返回。两种方式各有优缺点:第种方式需要修改代码,...
Android安全之不安全日志输出
thatqier
02-23 980
漏洞描述:记录敏感信息并进行日志的输出保存 漏洞检测方式:对APK进行反编译后,查看是否有log.e语句出现
日志里的敏感信息还在打明文?3 种日志脱敏方案任你选
JiuQianWan的博客
09-23 1万+
背景我们打的日志中经常包含姓名、手机号、银行卡号等敏感信息,如果不做任何处理,就会以明文的形式展示在日志中,存在安全风险。像下面这样:我们需要种能自动帮我们脱敏的工具,效果如下:方案1 - 基于 logback我们得先搞清楚消息内容是在哪里处理的,也就是配置文件中这个占位符的内容:对应到源码是这里 ch.qos.logback.classic.PatternLayout :这里可以看出来都是通...
Flutter Android 打包保姆式全流程 2023 版
17 的博客
03-06 5640
这是份 2023 完整的最新版的 Flutter Android 新手打包全流程介绍,包含完整示例项目,从此 android 打包不求人。
Android Debug 调试签名 .keystore .jks 本地设置
wwwgaoxi的博客
04-27 3806
Android Debug 调试签名 .keystore .jks 本地设置Android程序有时会碰到,集成第三方SDK后 需要正式签名才能测试,比如 微信 高德 等, 如果总要打包签名测试 岂不是很麻烦,其实在本地设置好,直接运行就行了.signingConfigs { release { keyAlias 'xxx' key
Android Studio下载及安装和Gradle的配置(非常详细)从零基础入门到精通,看完这篇就够了_
热门推荐
wangluoanquan111的博客
08-13 2万+
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间路看涨,这也是为什么受大家欢迎的主要原因。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值