Android - Keystores, покупка приложений и аутсорсинг

Question

В настоящее время у меня есть приложение для Android, разработанное сторонним третьим лицом. Мы находимся на том этапе, когда мы готовы внедрить/протестировать покупку In-App, но для продолжения этого мы должны сначала загрузить приложение на рынок (чтобы мы могли сделать идентификаторы покупки в приложении). Чтобы загрузить на рынок, вы должны подписать приложение с помощью не отладочного ключа.

Мои вопросы:

1. Что такое лучший способ пойти об этом и сохранить конфиденциальность моего хранилища ключей?
2. Можно ли изменить хранилище ключей позже, не затрагивая функциональность приложения?
3. Что такое хороший back-and-forth процесс, который сделает эту работу, если я не буду кодировать покупку In-App самостоятельно?

Answer 1

Ключ для ключей, используемый для подписания, должен оставаться без изменений, иначе вы не сможете обновить существующее приложение в Market. Следовательно, правильный подход заключается в том, что разработчик дает вам неподписанный APK, и вы подписываете его локально, а затем отправляете на рынок.

Как предложил Бруно Оливейра в другом ответе, для целей отладки вы можете создать приложение и подписать его с помощью ключа, совместно используемого между вами и разработчиком. Но в этом случае будьте готовы создать и отправить совершенно новую заявку на выпуск по той причине, о которой я говорил выше.

Answer 2

Похоже, что лучший способ протестировать приложение состоит в том, чтобы поставщик загрузил его на Market под другим именем пакета и с использованием сертификата, который вы и этот поставщик поделили. Это будет отладочная версия приложения, которая не будет рекламироваться.

После завершения тестирования и отладки вы готовы опубликовать производственную версию, и ваш поставщик предоставит вам неподписанный APK с окончательным именем пакета, и вы загрузите его в Android Market, используя свой сертификат, который вы никогда не делитесь с поставщиком.