苹果ios签名风险：独立开发者的血泪踩坑经验

我做独立iOS开发快五年了，前几年一直做接包的活，去年终于下定决心做一款自己的小工具——给我们本地十几个小区做的便民服务工具，能查物业通知，能拼团买生鲜，还能约上门维修。一开始满心欢喜准备上架AppStore，改了三版，提交了三次，每次都被打回，说我的内容属于第三方服务聚合，不符合平台规范，而且我没有相应的资质，就是个个人开发者，根本拿不出来那些东西。没办法，只能走IPA签名分发的路，这一走，就踩了无数签名的坑，今天把这些经历写出来，给同样走这条路的朋友提个醒。 最早我什么都不懂，只知道要签名才能给用户装，去淘宝一搜，出来一大堆，点进去问，有个商家说共享企业签名一年只要199，承诺永不掉签，我那时候刚出来做自己的项目，没多少预算，觉得挺划算，就付钱了。那时候我连P12证书是什么都搞不清楚，商家找我要打包好的IPA，我直接发过去了，半天就给我弄好了，做了个下载链接，我自己装了一下能用，就高高兴兴发去业主群了。 后来我才慢慢搞懂设备签名的原理，说白了就是苹果的系统规定，没在AppStore上架的app，要想安装，必须经过苹果认可的证书签名。所谓的设备签名，核心就是UDID绑定——每台苹果设备都有一个独一份的UDID标识，你要装哪个app，就得把这个UDID加到苹果开发者后台的测试设备列表里，用对应证书签好名，苹果验证通过才允许安装。 我那时候想自己弄签名，省点钱，就在苹果开发者后台申请了证书，学习怎么导出P12证书。P12证书其实就是打包了证书和私钥的文件，给第三方帮你签名的时候必须提供这个。我第一次导出的时候没注意，只导出了公钥证书，没把私钥包含进去，结果导出来的P12给人家，人家说根本用不了，签出来的app用户装的时候直接提示未受信任的开发者，根本打不开。我折腾了整整一天，翻了无数教程才搞明白，导出P12的时候必须选带私钥的选项，还要设置密码，不然文件根本没用。这还不是最坑的，后来我把自己账号的P12给过一个认识的开发者帮我签名，结果那个家伙偷偷拿我的证书签了好几个违规的棋牌app，没过半个月我的苹果个人开发者账号直接被苹果封了，交的688元年费打了水漂，找他说理他直接把我删了，我连说理的地方都没有。所以在这里提醒大家，P12证书绝对不能随便给陌生人，就算给了，用完一定要第一时间去苹果开发者后台把证书吊销，不然人家拿你的证书签违规应用，封的是你的账号，哭都来不及。 说到不同渠道的真实价格，我跑了不下十几个渠道，现在也摸清楚了真实的行情，根本不是网上那些低价宣传那样。共享企业签名，就是很多个app共用一张企业证书，一般小渠道的价格就是100到300块一年，看起来真的很便宜，但是稳定性极差，就是我第一次买的那种，指不定哪天苹果就把证书吊销了。独立企业签名，就是一个证书只给你一个app用，稳定性好很多，正规渠道的价格一般是500到1000块一个月，一年下来大几千，对于我们独立开发者来说压力真的不小。超级签名，就是用多个个人开发者账号拼起来，每个设备绑定UDID，价格一般是1到3块钱一个设备一年，用户少的时候还行，用户多了几千个设备，算下来比企业签名还贵。TF签名就是把app上传到苹果官方的TestFlight测试平台，用户通过TestFlight安装，价格一般是200到600块一次，包上架，后续只要不换包名，更新都不用再加钱，这个价格真的很亲民。 我那199的共享企业签名，用了刚好14天，早上起来打开微信，几十条未读消息，全是用户说app打不开了，点下载也装不上。我赶紧去问商家，商家说证书掉签了，共享证书都是这样，要不加300块换他们的独立证书，保证三个月不掉。那时候我已经攒了两千多用户了，掉签之后所有用户都用不了，我急得满头大汗，没办法只能乖乖转了300块换了独立证书。补签完重新发了下载链接，一个个给用户解释，折腾了整整一天才安抚好大部分用户。 结果好景不长，三个多月后的一个深夜，我又收到用户消息说又掉签了。这次我找商家，商家半天不回，过了一天告诉我，他们的企业开发者账号被苹果封了，证书没了，补不了，钱也退不了，没过多久直接把我拉黑了。我那时候坐在电脑面前，真的欲哭无泪，做项目本来就没赚什么钱，前后花了五百多，结果账号说没就没，用户这边又炸锅，那段时间真的想干脆放弃这个项目算了。 后来我蹲在我们独立开发者群里吐槽，有个做了很多年工具的老哥给我推荐了TF签名，说他的小工具用TF签名快两年了，一次都没掉过，让我试试。我那时候已经不相信什么永不掉签的承诺了，就问了问价格，对方说我的app体积不大，功能也不违规，400块包上架，后续更新免费，掉签包补。我想着死马当活马医，就付钱了，对方两天就给我弄好了，给了我一个TestFlight的链接，我自己装了一下，和正常app没什么区别，用着也稳定。 说到TF签名，我后来也搞懂了它的证书分发机制，它其实是苹果官方允许的内测分发渠道，本来就是给开发者做测试用的，只要你不违规，苹果根本不会给你下架，所以基本不会掉签，比起那些第三方的企业签名稳定太多了。我做分发的时候，自己用H5封装了一个下载页，把TF链接放进去，用户打开网页点一下就能跳转到TestFlight安装，不用像超级签名那样还要获取UDID绑定，省了很多麻烦。H5封装我一开始用免费的第三方平台，结果用了没几天，发现网页上弹各种乱七八糟的广告，还有低俗弹窗，用户给我反馈了好多次，我赶紧换掉，自己花几十块买了个轻量服务器，自己搭了个H5下载页，干干净净，也不用担心数据被偷，用着舒服多了。 这些年踩坑踩多了，也发现掉签补签其实是签名行业的常态，除了TF签名，真的没有哪个渠道敢保证百分百不掉签。苹果现在查的越来越严，企业签名只要证书签了违规app，或者下载量太大触发了苹果的检测机制，分分钟就会被吊销证书。共享证书更不用说，别人签了违规app，你的app跟着连坐，一起掉，补签还要再加钱，不加钱就不管你，很多小商家就是靠这种低价引流，然后一次次加钱赚钱，等你发现不对，人家直接拉黑跑路。 UDID绑定我也踩过不少坑，之前试过做一段时间超级签名，自己买账号自己签，结果很多用户不会获取UDID，手动复制抄错数字，绑错了之后根本装不上，还要重新获取重新绑，一个用户折腾大半天，还白白浪费一个设备名额，相当于浪费钱。那时候我才明白，为什么很多人嫌超级签名麻烦，尤其是用户多了之后，光是处理UDID绑定的问题就能把你累死，TF签名就完全没有这个问题，苹果都帮你处理好了，用户只要点一下链接就能装，省了不知道多少事。 我其实一直没放弃AppStore上架，现在用TF分发积累了不少用户，也根据苹果的审核要求改了很多版，去掉了不合规的内容，补了相应的说明，最近准备再提交一次上架。其实我们独立开发者都知道，能上架AppStore肯定是最好的，用户下载方便，也不用操心签名掉签的问题，还能接官方的广告，赚点维护费。但是很多小工具或者垂直领域的项目，就是过不了审核，没办法只能走签名分发的路，这种时候选对签名渠道真的太重要了。 我现在给很多刚入行做独立开发的朋友推荐，要是你的用户量不大，或者只是做小范围的内测或者服务，直接选TF签名就好了，性价比最高，也最稳定，不用天天担心掉签。要是你用户量很大，确实不想用TestFlight，那就找正规渠道做独立企业签名，别贪便宜买那种几十块一百多的共享签名，掉签掉的你怀疑人生，到最后丢了用户又丢钱，得不偿失。 我前阵子还遇到一个新朋友，找那种私人做签名，贪图便宜把自己的P12证书给对方，结果账号被封，里面还有刚交的年费，项目也停了，真的太可惜了。其实签名这行水真的不浅，各种各样的坑，一不小心就踩进去了，我们做独立开发，攒点用户不容易，别因为这些看不见的风险，把自己辛辛苦苦做了几个月的项目搭进去。平时多问问圈内的朋友，找靠谱的渠道，宁愿多花点钱买稳定，也不要为了省一点钱给自己埋雷，走一步看一步，慢慢做，项目总能做起来的。