Signature.hashCode指的是正确的hashCode吗？

Question

下面的代码(sign.hashCode())是给我签名的hashCode还是内存中对象的哈希？

try {
    PackageInfo packageInfo = getPackageManager().getPackageInfo(
            "com.klxx.as", PackageManager.GET_SIGNATURES);
    Signature[] signs = packageInfo.signatures;
    Signature sign = signs[0];
    Log.i("test", "hashCode : "+sign.hashCode());
} catch (Exception e) {
    e.printStackTrace();
}

文档(这里)只表示以下内容，与任何其他对象一样。

此对象的哈希代码值。

但是我在多个网站上看到了上面的片段，声称它显示了apk的标志。另外，其他一些源也使用了签名的字节来自己创建散列。

Answer 1

Signature.hashCode()被覆盖，在本例中是根据签名字节数组的内容计算的。

您可以看到解决疑点的源代码，r1/android/content/pm/Signature.java#Signature.hashCode%28%29。

Answer 2

虽然其他答案在技术上是正确的，否则它们是危险的假：

是的，Signature.hashCode() 被覆盖确实计算了签名字节上的一些弱32位哈希值，这使得它具有确定性。

但是，您不应该使用这个值作为任何类型的信任决策的基础，如果首先检索签名，通常需要这样做。这是因为为hashCode()生成具有相同值的假签名非常容易:只需生成2^32随机签名证书就可以很好地找到冲突，而且非常可行。

而不是，您应该使用加密安全的哈希函数，例如SHA-256，例如将结果哈希转换为Base64：

MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hashBytes = digest.digest(sign.toByteArray());
String hash = Base64.encodeToString(hashBytes, Base64.NO_WRAP);