Re.Pack项目中的代码签名机制详解

代码签名在Re.Pack中的实现原理

Re.Pack作为React Native应用的打包工具，提供了完善的代码签名机制来确保远程加载的JavaScript代码安全可靠。这套机制基于非对称加密技术，通过签名密钥签名和验证密钥验证的方式保证代码完整性。

密钥生成与配置

开发者首先需要生成RSA密钥对：

ssh-keygen -t rsa -b 4096 -m PEM -f code-signing.key
openssl rsa -in jwtRS256.key -pubout -outform PEM -out code-signing.key.pub

生成的签名密钥用于Webpack打包时签名，验证密钥需要分别配置到Android和iOS项目中：

• Android: 放在strings.xml中
• iOS: 放在Info.plist中

Webpack插件配置

在Webpack配置中添加CodeSigningPlugin插件：

new Repack.plugins.CodeSigningPlugin({
    signingKeyPath: './code-signing.key', // 必须使用相对路径
    outputFile: 'code_signing_mapping.json',
    outputPath: path.join(dirname, 'build/outputs', platform, 'remotes'),
})

客户端验证机制

在React Native应用启动时，需要配置ScriptManager来验证远程加载的代码：

ScriptManager.shared.addResolver(async (scriptId, caller) => {
    return {
        url: resolveURL(scriptId, caller),
        verifyScriptSignature: __DEV__ ? 'off' : 'strict',
        // 其他配置...
    };
});

常见问题解决方案

1. 打包失败问题：

   • 确保签名密钥路径使用相对路径
   • 检查项目中Re.Pack版本一致性
   • 验证密钥文件权限是否正确

2. 验证模式选择：

   • off: 完全禁用验证
   • loose: 验证但不强制
   • strict: 严格验证，失败则拒绝加载

3. 开发环境建议：

   • 开发时使用verifyScriptSignature: 'off'
   • 生产环境必须使用strict模式

最佳实践建议

1. 同一宿主应用中的所有微应用应使用相同的密钥对
2. 定期轮换密钥对增强安全性
3. 将验证密钥存储在安全位置，避免泄露
4. 在CI/CD流程中自动化签名过程

通过这套机制，Re.Pack为React Native应用的远程代码加载提供了企业级的安全保障，有效防止代码篡改和中间人攻击。