如何在Android Studio中获取调试（Debug）和发布（Release）版本应用签名的SHA1值

在Android开发过程中，集成第三方SDK（如高德地图、微信登录、百度地图、支付宝等）时，通常需要提供应用的证书指纹——即SHA1值。该值用于验证客户端身份，防止非法调用。然而，许多开发者因混淆Debug与Release构建类型的签名密钥，或在不同开发机器间迁移项目时未统一keystore配置，导致SHA1不一致，最终引发服务调用失败。

1. 理解Android应用签名机制

• Android要求所有APK必须经过数字签名才能安装。
• 系统使用签名来识别应用的“身份”，确保更新来源可信。
• 每个应用有两个常见构建变体：debug 和 release。
• 默认情况下，Android Studio使用一个自动生成的debug.keystore进行调试签名。
• 发布版本则需开发者手动创建并指定自定义的.jks或.keystore文件。
• 两者的SHA1指纹完全不同，不可混用。

2. Debug与Release签名的区别

属性	Debug签名	Release签名
生成方式	AS自动创建（首次编译时）	开发者手动创建
存储路径	~/.android/debug.keystore	项目目录下自定义位置
别名	AndroidDebugKey	用户自定义
密码	android	用户设置
用途	开发测试	正式上线
SHA1是否固定	跨设备可能不同	取决于keystore一致性

3. 获取Debug版本SHA1值

可通过keytool命令提取默认调试密钥的SHA1：

keytool -list -v \
-keystore ~/.android/debug.keystore \
-alias androiddebugkey \
-storepass android \
-keypass android

执行后输出包含以下信息：

Alias name: androiddebugkey
Creation date: Jan 01, 2023
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Android Debug, O=Android, C=US
Issuer: CN=Android Debug, O=Android, C=US
Serial number: 123456789a
Valid from: Mon Jan 01 12:00:00 CST 2023 until: Wed Dec 31 12:00:00 CST 2043
Certificate fingerprints:
	 SHA1: AA:BB:CC:DD:EE:FF:11:22:33:44:55:66:77:88:99:AA:BB:CC:DD:EE
	 SHA256: ...

复制SHA1行的值即可用于调试环境注册。

4. 获取Release版本SHA1值

假设你已创建名为myreleasekey.jks的密钥库，命令如下：

keytool -list -v \
-keystore /path/to/your/release.jks \
-alias YourReleaseAlias

系统会提示输入keystore password和key password，输入后显示详细信息，包括SHA1。

5. 自动化获取SHA1：Gradle脚本增强方案

可在app/build.gradle中添加任务自动打印当前构建类型的签名信息：

android {
    applicationVariants.all { variant ->
        variant.outputs.each { output ->
            def variantName = variant.name.capitalize()
            task "print${variantName}Sha1" << {
                def apk = output.outputFile
                if (apk != null && apk.exists()) {
                    def keystore = variant.signingConfig?.storeFile
                    def storePassword = variant.signingConfig?.storePassword
                    def keyAlias = variant.signingConfig?.keyAlias
                    def keyPassword = variant.signingConfig?.keyPassword

                    def cmd = "keytool -list -v -keystore ${keystore.absolutePath} -alias ${keyAlias} -storepass ${storePassword} -keypass ${keyPassword}"
                    def proc = cmd.execute()
                    proc.in.eachLine { line ->
                        if (line.contains("SHA1")) println "${variant.name}: ${line}"
                    }
                }
            }
        }
    }
}

6. 常见问题分析与排查流程图

graph TD A[第三方SDK报错: 签名不匹配] --> B{是Debug还是Release?} B -- Debug --> C[检查是否使用默认debug.keystore] B -- Release --> D[确认使用的jks路径是否正确] C --> E[运行keytool查看SHA1] D --> F[确认alias与密码无误] E --> G[比对控制台注册的SHA1] F --> G G -- 不一致 --> H[重新注册正确的SHA1] G -- 一致 --> I[检查包名是否匹配] H --> J[问题解决] I --> J

7. 多环境协作中的最佳实践

1. 团队内统一debug.keystore，避免每人生成不同的调试签名。
2. 将共享的debug.keystore提交至私有仓库或文档说明。
3. Release keystore应加密保管，禁止明文泄露。
4. 在CI/CD流水线中预设签名配置，确保打包一致性。
5. 使用signingConfigs明确区分不同环境：

android {
    signingConfigs {
        debug {
            storeFile file('config/debug.keystore')
            storePassword 'android'
            keyAlias 'androiddebugkey'
            keyPassword 'android'
        }
        release {
            storeFile file('config/release.jks')
            storePassword 'your_store_pass'
            keyAlias 'your_key_alias'
            keyPassword 'your_key_pass'
        }
    }
    buildTypes {
        debug {
            signingConfig signingConfigs.debug
        }
        release {
            signingConfig signingConfigs.release
        }
    }
}