1, JSPatch热更新
众所周知,AppStore 上发布需要有个一非常恶心的审核期,而且很可能被拒绝掉,发布或者迭代一个 App一般耗时是5-10个工作日.但是如果线上版本出现了一些问题,或者公司市场部突然要做某些活动,这就会让 iOS 的程序员手忙脚乱.现在市场上很多大公司比如淘宝,58同城等都采用了 OC 和 HTML5 混编方法处理我说的那几个问题, 这是现在最好的热更新解决方案 ,但是 iOS 程序员去写 H5有点不现实
2,为什么能热更新,原理
能做到通过JS调用和改写OC方法最根本的原因是 Objective-C 是动态语言,OC上所有方法的调用/类的生成都通过 Objective-C Runtime 在运行时进行,我们可以通过类名/方法名得到相应的类和方法,进一步用 js 的代码来代替实现方法.
JSPatch用iOS内置的JavaScriptCore.framework作为JS引擎,但没有用它JSExport的特性进行JS-OC函数互调,而是通过Objective-C Runtime,从JS传递要调用的类名函数名到Objective-C,再使用NSInvocation动态调用对应的OC方法。
3,优缺点
1>.JS语言
JS比Lua在应用开发领域有更广泛的应用,目前前端开发和终端开发有融合的趋势,作为扩展的脚本语言,JS是不二之选。
2>.符合Apple规则
JSPatch更符合Apple的规则。iOS Developer Program License Agreement里3.3.2提到不可动态下发可执行代码,但通过苹果JavaScriptCore.framework或WebKit执行的代码除外,JS正是通过JavaScriptCore.framework执行的。
3>.小巧
使用系统内置的JavaScriptCore.framework,无需内嵌脚本引擎,体积小巧。
4>.支持block
wax在几年前就停止了开发和维护,不支持Objective-C里block跟Lua程序的互传,虽然一些第三方已经实现block,但使用时参数上也有比较多的限制。
风险
JSPatch让脚本语言获得调用所有原生OC方法的能力,不像web前端把能力局限在浏览器,使用上会有一些安全风险:
1>.若在网络传输过程中下发明文JS,可能会被中间人篡改JS脚本,执行任意方法,盗取APP里的相关信息。可以对传输过程进行加密,或用直接使用https解决。
2>.若下载完后的JS保存在本地没有加密,在未越狱的机器上用户也可以手动替换或篡改脚本。这点危害没有第一点大,因为操作者是手机拥有者,不存在APP内相关信息被盗用的风险。若要避免用户修改代码影响APP运行,可以选择简单的加密存储。
4,如何使用
1,注册账号,以及app,会生成一个appkey
2,导入框架和依赖项和AppDelegate
在该平台下载SDK解压后将JSPatch.framework拖入项目
添加依赖框架libz.dylib和JavaScriptCore.framework
1中startWithAppKey传入平台申请的appKey,启动JSPatch SDK,同时会自动执行已下载到本地的patch.
2中sync与JSPatch平台后台更新,询问是否有patch更新,如果有更新会自动下载并执行。startWithAppKey并不会询问后台patch更新,必须调用sync方法。注意:**实时性不高的App只需在didFinishLaunchingWithOptions处调用一次,用户启动时就会同步patch信息;实时性要求高的App,在applicationDidBecomeActive处调用,用户每次唤醒App时就同步一次后台
在AppDelegate.m的didFinishLaunchingWithOptions中添加如下代码:
//添加头文件
#import <JSPatch/JSPatch.h>
//1
[JSPatch startWithAppKey:JSPatchKey] //JSPatchKey是创建App获得的AppKey
//2
[JSPatch sync]
3,测试本地脚本
在上线之前需要对脚本进行本地测试查看运行是否正常,注意JSPatch平台规范,JS脚本文件名必须是main.js。SDK提供了方法+testScriptInBundle用于发布前测试,调用该方法后,JSPatch会在当前项目的bundle寻找main.js。
注意:+testScriptInBundle不能与+startWithAppKey一起调用,+testScriptInBundle只能用于本地测试,测试完需删除
4,发布版本
-
添加版本
- 发布补丁
5,自定义RSA密钥和安全问题
为避免js脚本传输过程被中间人篡改,我们需要对js文件进行RSA签名加密,具体流程:
服务端
计算js文件MD5值
用RSA私钥对MD值加密,与JS文件一起下发给客户端
客服端
拿到加密数据,用RSA公钥解密出MD5值
本地计算返回的js文件MD5值
对比2个MD5值,相等则校验通过,保存JS文件到本地
当保存到本地时,越狱机器会有点风险,我们可以通过对称加密保存,然后读取时解密。
客户端和JSPatch后台默认有一对RSA密钥,默认会对这对密钥进行加解密验证。也可以自定义RSA密钥。
6,自定义RSA密钥
生成RSA密钥。在终端输入下列代码后再当前目录就有rsa_private_key.pem和rsa_public_key.pem。密钥长度可选1024/2048/3072/4096...
openssl > genrsa -out rsa_private_key.pem 1024 pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem
2,SDK设置RSA Public Key。客户端接入SDK后调用+setupRSAPublicKey:
设置定义的RSA Public Key,必须在+sync
之前调用。Public Key以字符串方式传入,换行处需要手动加换行符。
3,使用Private Key下发脚本。下发脚本时勾选使用自定义RSA Key 选项,选择本地的rsa_private_key.pem与脚本一起上传。JSPatch平台使用上传的Private Key对脚本MD5值进行加密,然后下发客户端。客户端通过第二部设置的Public Key对脚本进行验证,通过则运行。注意:上传的rsa_private_key.pem只是一次性使用,用户必须保存rsa_private_key.pem文件