苹果的需求

苹果的解决方案：双层代码签名+描述文件:

这里画一张图附上：

在iOS出来之前，主流的操作系统（MacOS/Windows）软件随便从哪里下载都能运行，系统安全存在隐患，盗版软件、病毒入侵、静默安装等等，苹果希望解决类似的问题，保证在iPhone iOS上的APP都是经过苹果官方允许的，怎样保证呢？就是通过代码签名。

如果要实现验证，最简单的方式就是苹果官方生成一对RSA公私钥，在iOS系统中内置一个公钥，私钥由苹果后台保存，我们上传APP到App Store时苹果后台用私钥对APP数据进行加密，iPhone下载APP后用公钥验证这个签名就可以确认APP是否经过允许或被三方篡改过。但是，我们安装APP并不仅仅只有App Store这一个方式，比如真机调试、企业包等，所以只靠这个简单的数字签名方式是不够的。

于是苹果设计了双层签名的机制，我们都知道iOS的应用开发必须在Mac系统下进行，正是由于这个依赖关系，双层签名才有了基础：

有了上面的过程已经可以保证开发者的认证和程序的安全了，但是如果只有上述的过程，那岂不是只要申请了一个证书就可以安装到所有的iOS设备了？所以，苹果又增加了授权文件（Provisioning profile）的验证，Provisioning profile一般包括三样东西：证书、APP ID、设备。

描述文件是在AppleDevelop网站创建的(在Xcode中填上AppleID它会代办创建)，Xcode运行时会打包进入APP内。在开发时，编译完一个 APP 后，用本地的私钥M对这个APP进行签名，同时把从苹果服务器得到的 Provisioning Profile 文件打包进APP里，文件名为embedded.mobileprovision，当把APP安装到手机上时，iOS系统会进行验证。

以上就是iOS应用签名的原理，下一篇我会基于这个原理给大家手撸一个自动重签名的脚本。希望对大家的学习有所帮助，也希望大家多多支持。