去年从互联网公司辞职做独立开发,一开始一门心思想把做的工具上AppStore,前后折腾了三个月,四款产品被打回了三次,要么是涉及私密分享不符合规范,要么是不想接苹果内购交30%的抽成,慢慢也就死了上架的心,转做私域分发,这大半年踩过的签名坑,说起来能装满一箩筐。
最早接触签名的时候,连P12证书是什么都搞不懂。 那时候找了个网上的教程,跟着在苹果开发者后台生成证书,导出的时候只导了公钥,拿着错的文件给IPA签名,折腾了一下午,装到手机上一直提示“无法验证应用”,差点把我手机都刷成白苹果。 后来才搞明白,P12证书是把开发者证书和对应的私钥打包在一起的文件,做IPA签名缺一不可,导出的时候必须勾选私钥,不然生成的P12根本没法用。
我后来自己囤个人开发者账号,都是自己生成P12,踩过一次丢证书的坑。 旧电脑硬盘坏了,存在本地的P12文件没备份,苹果开发者后台又没法重新导出旧证书的私钥,只能作废重新生成,之前绑的一百多个UDID全废了,所有用户一夜之间全掉签,我一个个给付费用户发道歉信退款,亏了小几千不说,还跑了十几个老用户,想想都心疼。 现在我生成P12之后,都会在云盘和本地U盘各存一份,不敢再大意,更不会随便把P12给别人——之前听说过有人把自己的P12借给朋友签名,结果朋友拿去签了违规赌博应用,整个账号被苹果封了,自己正经签的应用全掉,哭都没地方哭。
说起来不同渠道的签名价格,我这大半年也算摸得门清,都是真金白银踩坑踩出来的。 最早图便宜找共享企业签名,三十块钱一个月,承诺掉签免费补,结果第三天就掉了,补完第二天又掉,一周掉了四次,后来才知道共享证书就是几十上百个IPA共用同一个P12,只要其中一个是违规应用被苹果查到,整个证书所有人的应用都掉,补签不过是换个废了又换,根本稳不下来。 现在市面上的价格其实很透明,共享企业签名一般也就五十到一百块一个月,适合测试包随便用,正式给用户用根本不行;独立企业签名就是一个证书只给你一个IPA用,价格一般三百到八百一个月,稳定性比共享好很多,但还是会偶尔掉,价格也不算便宜。
TF签名也就是TestFlight签名,我用了快半年,价格一般两百到五百一个月,按下载量算的话就是两块到五块一个下载,这个是真的稳,毕竟是苹果官方认可的测试分发渠道,只要你不上违规内容,基本不会掉签。 我那个合规的刷题工具就是一直用TF签名,大半年没出过问题,但TF也有缺点,一个是审核还是比超级签名严,我那个带私密存储的工具就被TF拒过,说涉及不明内容分享;另一个是每个链接最多一万个测试名额,有效期九十天,到期还要重新上架,用户更新也麻烦,对小开发者来说够用,但总有不方便的地方。
至于超级签名,就是我现在主力用的分发方式,市面上的价格差得离谱。 我最早找过两块钱一个设备一年的,贪便宜买了五十个名额,不到半个月全掉了,商家都跑路了,后来才知道那种低价超级签名用的都是黑号,要么是盗来的开发者账号,要么是多人共用的号,苹果一查一个准,掉了根本补不了。 现在正规稳定的超级签名,一般八块到十五块一个设备一年,要是你自己有个人开发者账号,自己生成证书签名,成本其实更低,一个账号每年99美元,能绑一百台设备,折合下来每个设备每年才不到六块钱,比找第三方签名划算多了,还安全。
很多新手好奇超级签名的设备签名原理,其实说穿了很简单。 苹果给个人开发者账号的测试权限,就是最多绑定100台iOS设备,你用这个账号签名的应用,只能在绑定过的设备上安装运行。 超级签名说白了就是把这个测试权限拿来做公开分发,核心就是UDID绑定——UDID就是每台iOS设备唯一的识别码,相当于设备的身份证,你要给用户装应用,就得先拿到用户设备的UDID,把它加到你苹果开发者后台的设备列表里绑定,再用你的P12证书给IPA签名,这样苹果就会认可这个应用在这台设备上安装,这就是整个流程。
我现在的分发页就是自己用H5封装的,对接了签名的API,用户打开链接就能自动触发UDID获取,不用用户手动复制,十几秒就能完成签名生成下载链接,完全不用我手动操作,省了太多事。 之前没做自动化的时候,我一个个手动录UDID到开发者后台,一天最多绑十个用户,累得要死,现在H5封装完,完全全自动,我该干嘛干嘛就行。
苹果的证书分发机制其实分好几种,大家最熟悉的就是AppStore上架,这个是正式的公开发行,只要过审,所有用户都能下载安装,不用额外操作,也是最稳定的,但就是过审门槛高,还要交30%的苹果税,很多垂直小工具、企业内部应用、私域工具根本上不了,所以才会有各种IPA签名的需求。 除了AppStore,就是企业开发者账号的企业分发,个人开发者账号的测试分发,还有TestFlight的官方测试分发,几种各有优劣,适合不同的需求。
掉签补签这个事,我真的太有发言权了,前前后后掉了不下十次,最惨的一次就是刚才说的丢P12那次,一百多用户全掉,我补了整整两天才弄好。 其实掉签无非几个原因,要么是证书被苹果封了,要么是账号出问题了,要么是UDID被移除了。 找第三方签名的话,掉签补签全看商家心情,有的商家承诺一小时补完,结果拖一天,用户早就不耐烦跑了。 我现在自己管账号管证书,掉签的概率真的极低,一年也就偶尔遇到一次账号被苹果警告,换个证书重新签,十几分钟就能弄好,分发页自动更新链接,用户打开就能下,根本不用我一个个通知。
说到这里就要提核心的超级签名与源码保护,很多独立开发者光顾着找便宜签名,根本不把源码保护当回事,我就吃过这个亏。 之前我做了个备考的小工具,那时候不会自己签名,找了个免费签名的渠道,把IPA包传上去,结果不到一个月,AppStore上就出现了一个一模一样的工具,界面逻辑功能全抄我的,就是换了个图标名字,我找人家理论,人家根本不理我,我也没地方说理,谁让我自己把未加密的IPA给了别人呢。 IPA包反编译真的没那么难,你要是没做混淆加壳,懂点技术的人几个小时就能把你的源码扒出来,你辛辛苦苦做几个月的成果,转眼就成了别人的,换谁谁不气。
所以现在我不管是自己签名还是找第三方,都一定会提前做源码混淆,给IPA加壳,敏感信息全部加密,就算找第三方签名,签完之后也一定会要求对方删掉服务器上的安装包,绝对不会把未加密的完整包随便存在第三方服务器。 要是自己能搭个小签名系统,自己管P12管UDID,那就更安全了,源码根本不会经过第三方手,完全不用担心被抄被扒,就是多花几个账号钱,对于独立开发者来说,几个账号一年也就几千块,换个安心太值了。
我之前也纠结过,要不要咬咬牙再改改产品硬上AppStore,后来想通了,我做的就是给小圈子用户用的工具,没必要非要挤上架那座独木桥,用超级签名分发,没有抽成,不用看审核脸色,赚的每一分都是自己的,反而更舒服。 唯一要注意的就是两件事,一个是找对稳定的方式,别贪便宜天天掉签折腾用户,另一个就是护好自己的源码,别让有心人摘了桃子。
我现在两个稳定的小项目,一个符合要求的放TF签名,一个偏私密的用自己的超级签名,大半年没出过大问题,用户也慢慢涨起来,再也不用天天盯着有没有掉签,天天给用户道歉补链接了。 其实做独立开发这么久,最大的感受就是,这种偏基础的服务,真的一分钱一分货,不要贪那点便宜,掉一次签丢一波用户,亏的远比省的多,源码保护更是不能大意,自己熬了无数夜写出来的东西,别最后给别人做了嫁衣。
最近准备再注册两个个人开发者账号,扩两百个名额,给等着进来的新用户,晚上冲了杯热美式,正在改新的笔记功能,窗外的梧桐树晃得影子斜在屏幕上,慢慢改就是了。