摘抄自：超级签名-原理/机制/技术细节-完全解析

超级签名流程：演示

签名原理：

所谓的超级签名原理其实就是使用了苹果提供给开发者的Ad-Hoc分发通道，把安装设备当做开发设备进行分发，换句话说就是用Ad-Hoc方式进行打包和分发。

既然是使用Ad-Hoc方式进行分发，那么签名也就继承了Ad-Hoc的所有优缺点：

优点：

1、直接分发，安装即可运行，不再需要用户去处理信任证书等操作。

2、应用稳定，基本不存在掉签的风险。

缺点：

1、单个开发者账号的IPhone设备数量最大是100台，导致签名成本非常高，超过后要用新的开发者账号重签。

2、开发者账号需要预先写入安装设备的UDID，在工具链不通的情况下，获取用户的UDID相对困难和繁琐，而且手动写入UDID不存在商用可行性，当然目前这个缺点被解决了。

整体运行流程图：

1、用户手机安装预留的描述文件，会向服务器发送设备udid。

2、服务器收到udid后，将udid添加到开发者账号下。

3、然后用此udid更新证书描述文件，用更新好的描述文件重签名ipa包。

4、最后将签名好的ipa包文件上传至服务器，分发给用户下载。

关键技术细节：

一、使用配置文件获取设备udid：

1、在你的Web服务器上创建一个.mobileconfig的XML格式的描述文件，提供给用户下载；

2、用户在所有操作之前必须通过某个点击操作完成.mobileconfig描述文件的下载安装；

3、配置好服务器需要的数据，比如：UDID，需要在.mobileconfig描述文件中配置好，以及服务器接收数据的URL地址；

4、当用户设备安装描述文件后，设备会回调你设置的URL，如果你的URL返回302跳转的话，Safari浏览器会跳转到你所给的地址；

XML代码格式如下：

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

    <dict>

        <key>PayloadContent</key>

        <dict>

            <key>URL</key>

            <string>一个接收UDID的网址</string>

            <key>DeviceAttributes</key>

            <array>

                <string>UDID</string>

                <string>IMEI</string>

                <string>ICCID</string>

                <string>VERSION</string>

                <string>PRODUCT</string>

            </array>

        </dict>

        <key>PayloadOrganization</key>

        <string>GuangdongQi</string><!--组织名称-->

        <key>PayloadDisplayName</key>

        <string>AppFree</string>

        <key>PayloadVersion</key>

        <integer>1</integer>

        <key>PayloadUUID</key>

        <string>9CF421B3-9853-4454-BC8A-982CBD3C907C</string><!--自己随机填写的唯一字符串，http://www.guidgen.com/ 可以生成-->

        <key>PayloadIdentifier</key>

        <string>com.gpon.profile-service</string>

        <key>PayloadDescription</key>

        <string>This temporary profile will be used to find and display your current device's UDID.</string>

        <key>PayloadType</key>

        <string>Profile Service</string>

    </dict>

</plist>

有两点需要注意的是：

1、接收网址的地址需要SSL签名；

2、mobileconfig下载时设置文件内容类型Content Type为：application/x-apple-aspen-config(遇到问题的都是因为这个)，或者像这里用一个简单页面做好下载mobileconfig文件，引导用户安装

二、注册设备udid，并更新下载描述文件：

接下来的关键点就是如何在获取到用户的UDID之后，秒级完成注册新的开发者设备+更新Provisioning Profile，这里我们需要借助开源工具(Spaceship)

Spaceship公开了Apple Developer Center的API，而且执行速度比解析开发者Web页面快两个数量级，从而在非常短的时间内搞定Provisioning Profile。 这个框架解决了整套机制的关键问题，成为整个工具链的基石。

spaceship 是Fastlane的一个框架，安装spaceship：

sudo gem install fastlane -n /usr/local/bin

sudo gem install pry  -n /usr/local/bin

fastlane spaceship

这里具体怎么获取udid和更新Provisioning Profile的技术细节可以参考spaceship官方文档，或者参考我整理的超级签名核心源码。

三、自动签名IPA包：

自动签名其实应该有一万个解决方案，通过命令行脚本/Python脚本/或者其他第三方都能实现。

这里推荐使用Sigh这个框架来解决这个问题

安装sigh:

sudo gem install sigh

重签名ipa包：

fastlane sigh resign

这里具体对ipa包重签名可以参考sigh官方文档，或者参考我整理的核心源码。

四、将签名好的应用上传至服务器，分发给用户下载即可。可以借助AppDeploy这个框架进行分发。

五、结束语：

到目前为止，整套超级签名技术已经完全实现了。该技术仅可当作有兴趣的同学学习学习，不可进行商用选择。苹果对于App的分发审核管控可以说是非常严苛，这背后既有安全考虑，也有垄断利益。但无论如何，对于终端用户都是利大于弊的措施，App审核保护了无数的手机用户免受恶意程序的侵害。 个人强烈反对这种绕过审核的分发形式。同时我要指出，分发平台以这种情况绕过苹果的审核严重违反《APPLE开发商计划许可协议》的3.3.3条款。