一、为什么需要签名？

Android系统要求每一个Android应用程序必须要经过数字签名才能够安装到系统中，也就是说如果一个Android应用程序没有经过数字签名，是没有办法安装到系统中的！（宣布所有权）

Android通过数字签名来标识应用程序的作者和在应用程序之间建立信任关系，不是用来决定最终用户可以安装哪些应用程序。

这个数字签名由应用程序的作者完成，并不需要权威的数字证书签名机构认证，它只是用来让应用程序包自我认证的。

默认签名

所以呢？为什么即使不配置签名文件，debug版本也可以直接安装到手机上？那么因为AS有默认的签名文件，路径是：
C:\Users\Administrator.android 下debug.keystore

二、创建签名文件

2.1、使用AS新建签名文件

2.2、使用 keytool 新建签名文件

1. 生成私钥：可以使用 Java 的 keytool 工具生成私钥。以下是使用 keytool 命令生成私钥的示例：

   keytool -genkey -v -keystore my-release-key.keystore -alias my-alias -keyalg RSA -keysize 2048 -validity 10000
   

   上述命令会生成一个名为 my-release-key.keystore 的私钥文件。

2. 生成证书：使用私钥生成证书。以下是使用 keytool 命令生成证书的示例：

   keytool -export -rfc -keystore my-release-key.keystore -alias my-alias -file my-certificate.pem
   

   上述命令会生成一个名为 my-certificate.pem 的证书文件。

请注意，私钥文件和证书文件都需要妥善保管，并且在发布应用时使用相同的私钥进行签名。签名应用时，Android 开发工具（如 Android Studio）提供了相应的界面和选项来配置签名文件。

三、签名串改

签名串改（Signature Spoofing）是指对已签名的应用进行操纵，修改其数字签名的过程。签名串改可能用于恶意目的，如篡改应用的行为、绕过权限控制等。

在正常情况下，Android 应用的数字签名用于验证应用的身份和完整性。如果应用的数字签名被篡改，系统将无法验证应用的真实性，从而导致安全风险。

为了防止签名串改，Android 系统实施了以下安全机制：

1. 应用签名验证：Android 系统在安装应用时会验证应用的签名信息。如果签名与应用在 Google Play Store 或其他渠道上的注册签名不匹配，系统会拒绝安装应用或发出警告。

2. 应用签名校验：Android 应用在运行时会校验其签名。如果应用的签名在运行过程中发生了变化，系统将认为应用已被篡改，可能会中止应用的运行。

3. 系统应用签名：Android 系统中的核心组件和系统应用都使用预先定义的签名来验证其身份。这样可以确保系统组件不会被非法应用替代或篡改。

签名串改是一种安全漏洞，因此 Android 开发者和用户都应保持警惕。

参考地址

Android应用程序签名详解：https://blog.csdn.net/lyq8479/article/details/6401093