我做独立iOS开发快五年,前两年一直卡在AppStore上架门口。
做了个面向手作爱好者的素材管理工具,因为允许用户自定义导入本地素材,连着被苹果拒了四次。
翻遍审核规则也摸不准苹果的脾气,反正就是不给过。
没办法只能转头走IPA签名分发的路,那时候什么都不懂,只知道有人说签名就能绕开审核分发,根本没认真想过苹果ios签名风险,踩的坑能绕我出租屋三圈。
一开始找签名,满网页都是低价广告,我那时候刚毕业,赚点生活费不容易,一眼就相中了99块钱包年的共享企业签名。商家很快给我发了个P12证书文件,说你自己找个工具重签就行,很简单。
那时候我连P12是什么都不知道,搜了半天才搞懂,P12是苹果证书打包后的文件,里面不光有公钥,还有最重要的私钥。正规的P12证书,都是一个应用对应一份,私钥只有持有人自己保管,结果后来我才知道,那个商家给我的P12,同一时间有七八个开发者在用来签不同的应用。
说到P12证书使用,这里必须提醒新手,如果你是自己用开发者账号生成P12,导出私钥之后绝对不能随便泄露给第三方,一旦泄露,别人拿着你的P12去签违规应用,苹果封证书的时候,你自己的正规应用也会跟着被牵连,直接掉签。如果是找商家代签,别贪便宜用共享P12,十有八九用不了半个月就会出问题。
做了这么久,我也摸清楚了目前不同渠道签名的真实价格,没有任何虚头:
最便宜的就是这种共享企业签名,多个应用共用一张企业证书,一般单个应用一个月30到50块,包年大多在200块以内,价格香但稳定性差到离谱。
然后是独享企业签名,一张证书只放你一个应用,不共享,价格普遍在一个月200到400块,包年大概1800到2500,贵了不少,但稳定性提升不止一个档次。
接下来是超级签名,按绑定设备收费,一个设备一年大概5到15块,100台设备就是500到1500,适合用户量小的小众应用,原理就是走个人开发者的测试设备权限,所以必须绑定UDID。
然后是现在最受欢迎的TF签名,也就是TestFlight签名,本质是把应用放到苹果官方测试平台分发,首次上架全包价一般在300到800块,如果需要频繁更新版本,一年的维护费大概1000到1500,这是目前市场的正常价,喊你收几千块的都是坑。
如果能自己上架AppStore,成本其实最低,每年只需要交688块的苹果开发者账号年费,如果找代办过审,价格就要看应用类型,从几千到一万不等,大多还是过不了不退费,水很深。
很多新手搞不懂设备签名原理,尤其是超级签名为什么一定要UDID绑定?其实说穿了很简单,苹果给个人开发者开放的测试权限里,要求必须把要安装测试的设备UDID添加到账号里,才能真机安装,超级签名就是钻了这个规则的空子,把每个要使用应用的用户设备都当成测试设备绑定,再用个人开发者证书给IPA签名,这样用户就能正常安装使用了。每个个人开发者账号最多只能绑定100台设备,所以用户多了就得买更多账号,成本会跟着涨。
我一开始做超级签名的时候,为了方便收集用户UDID,还专门找人做了个H5封装的下载页,用户点进去就能自动获取UDID,自动跳转签名生成下载链接,不用我手动一个个收集,省了超多事。那时候还觉得H5封装太方便了,更新内容不用重新签名,直接改H5页面就能生效,结果没想到用了半年,域名没备案被墙,整个下载页直接打不开,老用户找不到更新,新用户装不了,我花了一个多星期换域名重新部署才救回来,损失了上百个用户。
苹果的证书分发机制其实很好理解,不同证书的权限和风险完全不一样:企业开发者证书本来是给企业分发内部员工应用用的,不需要绑定UDID,任何设备都能安装,所以才会被用来做第三方外部分发,但苹果明确禁止企业证书对外分发,一旦检测到证书滥用,就会直接吊销证书,所有用这个证书签的应用都会立刻掉签,打不开。个人开发证书就是超级签名用的,绑定UDID之后只要账号不违规,其实不太容易被封,就是用户多了成本太高。TF签名走的是苹果官方TestFlight的分发渠道,本身就是苹果允许的公开测试,所以只要应用本身不违规,基本不会被封,也不会掉签,是目前所有签名方式里最稳定的。
说到掉签补签,我这辈子都忘不了那次糟心的经历。去年秋天,那时候我还用着99块的共享签,已经攒了一千多活跃用户,那天早上醒过来,微信直接炸了,九十多条未读消息全都是说应用打不开,点一下就弹无法验证开发者。我赶紧爬起来开电脑找商家,商家半天回一句,证书被苹果封了,重新弄要三天。
三天啊,对于一个靠口碑传播的小众应用来说,三天不能用,多少人会直接删掉再也不用?我那天在出租屋椅子上坐了一整天,一个个给找上门的用户道歉,说正在修,有的用户理解,有的直接骂我骗子,说交了会员费就用不了。我那时候真的想把电脑一关直接放弃,本来就赚不了几个钱,还要天天操这个心。三天之后补好签,我统计了一下,直接掉了快三百个活跃用户,本来每个月靠会员赚的房租钱,直接少了三分之一。从那之后我就懂了,签名的风险你不提前预防,真出事了根本扛不住。
后来我咬咬牙换了独享企业签名,一个月300块,比之前贵了十倍,结果半年都没掉过一次签,补签的次数一只手都数得过来,只有一次我更新版本的时候不小心加了个违规功能,触发了苹果检测才掉签,商家当天就给我补好了,没耽误多少事。再后来我的用户稳定在八百多,索性转成了TF签名,到现在快一年了,一次都没掉过,真的太省心了。TF签名就是更新版本麻烦一点,每次更新都要重新走一遍审核,但苹果审核TF一般一两天就过,而且是官方链接,用户点一下就能装,也不会弹无法验证的提示,体验比企业签名好太多。
很多刚做独立开发的新手问我,选哪种签名稳定好用,我每次都告诉他们,能上架AppStore一定要想办法上架,签名本来就是过渡方案,正规上架之后用户信任度高,也没有掉签的风险,每年只要交688,算下来比很多签名还便宜。如果实在上架不了,优先选TF签名,只要你的应用不违规,基本不会出问题,其次选正规商家的独享企业签名,千万千万不要碰几十块钱一个月的共享签名,掉签到你怀疑人生。
我之前还犯过一个错,把自己个人开发者账号生成的P12发给商家帮我签名,结果后来发现他们偷偷拿我的证书给别的违规应用签名,不到一个月我的账号就被苹果封了,里面绑定的一百多台设备全废了,我又重新买账号重新绑定,花了小一千才搞定,这个亏我到现在都记得。所以不管什么时候,自己账号生成的P12私钥,绝对不能给别人,出了事苹果只认账号持有人,哭都没地方说理。
还有不少不良商家,给你做IPA签名的时候,会偷偷在安装包里插广告,甚至加窃取用户信息的代码,你不检查直接发给用户,出了问题全都是你负责。我之前就遇到过,签好的安装包我自己安装测试,弹出来我根本没加的赌博广告,找商家理论,商家说这是额外的服务费,不加钱就一直有,真的太恶心了。所以不管找谁签名,签完之后一定要自己安装测试一遍,确认没问题再给用户。
现在我一边做TF分发,一边慢慢改应用,改了大半年终于符合AppStore的审核规则了,上个月刚提交了审核,现在每天都打开开发者后台看进度,要是能过审,我就再也不用操心签名掉不掉的问题了。做独立开发这么久,最大的感悟就是,苹果的规则别想着随便绕,绕来绕去坑的都是自己,签名本来就是游走在规则边缘的办法,风险一直都在,你不重视,早晚要栽跟头。