我正在使用一个简单的TWA(支持PWA的网站打包成本地Android应用程序)和 bubblewrap。为了使这个TWA正常工作,它必须有一个包含签名密钥的sha256指纹的assetlinks.json
文件上传到web服务器。
似乎有两个用于签名的密钥:应用程序密钥和上传密钥。
- 如果通过Play Store发布应用程序,则TWA希望看到应用程序密钥
- 如果只是安装本地apk文件,则期望上传密钥
此外,不同的密钥工具将输出不同的密钥:
- Bubblewrap似乎使用应用程序密钥:bubblewrap/bubblewrap指纹generateAssetLinks
- Google Play也使用应用程序密钥。
keytool
似乎使用上传密钥:keytool-printcert-jarfile app-release-signed.apk|grep SHA256
assetlinks.json
文件中以允许Play商店发布和本地测试是否安全?