android - Signature.hashCode 是指正确的 hashCode 吗？

Question

下面的代码(sign.hashCode())是给我签名的hashCode还是内存中对象的hash？

try {
    PackageInfo packageInfo = getPackageManager().getPackageInfo(
            "com.klxx.as", PackageManager.GET_SIGNATURES);
    Signature[] signs = packageInfo.signatures;
    Signature sign = signs[0];
    Log.i("test", "hashCode : "+sign.hashCode());
} catch (Exception e) {
    e.printStackTrace();
}

文档 ( here ) 仅说明以下内容，与任何其他对象一样。

a hash code value for this object.

但是我在多个网站上看到上面的 fragment 声称它显示了apk的标志。也有一些其他来源使用签名的字节自行创建哈希。

Answer 1

虽然其他答案在技术上是正确的，但它们在其他方面都是危险的错误:

是，Signature.hashCode() is overwritten并且确实在签名的字节上计算了一些弱的 32 位散列值，这使得它具有确定性。

但是，您不应该使用此值作为任何类型的信任决定的基础，如果您首先检索签名，您通常希望这样做。这是因为生成具有相同 hashCode() 值的假签名非常容易:只需生成 2^32 随机签名证书就可以很好地找到碰撞并且是非常可行的。

相反，您应该使用加密安全哈希函数，例如 SHA-256 和例如将生成的哈希值转换为 Base64:

MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hashBytes = digest.digest(sign.toByteArray());
String hash = Base64.encodeToString(hashBytes, Base64.NO_WRAP);