簡介：mPaas上線應用檢測

1. 背景

隨著越來越多的金融行業基于mPaas[1]搭建并上線新的App，App的上線質量也成為各個客戶關注的重點。上線前檢測哪些項目，如何檢測，檢測數據指標包括哪些成為我們思考的主要方向。借著上次去XX農信客戶去做線上功能檢測，加上之前多個mPaas歷史項目踩過的坑，將App上線前mPaas相關檢測內容整理沉淀如下。

2. 檢測方向

2.1 安全性

2.1.1 RPC是否開啟國密加密

對應金融性質的App來說，數據通信安全至關重要，mPaas已經支持 ECC、RSA 和國密（SM2）三種方式，
在金融行業App內建議開啟加密配置為SM2國密加密，滿足行業監管要求。配置可以參考文檔[2]。

2.1.2 離線包是否開啟驗簽

圖1

為了保證下發到本地離線包的安全性，mPaas提供了離線包驗簽機制，保證了離線包的安全性。整體示意圖如上所示，用戶設置流程如下:

開發者配置好一對公私鑰，私鑰放在服務端用于對離線包簽名，公鑰放在客戶端，用于對簽名對驗證。

在離線包發布平臺，如果配置了簽名私鑰，平臺下發的amr文件就會帶上簽名信息（通過私鑰對離線包的hash值加密后得到的密文）。

客戶端在拿到amr包并解壓后，客戶端會使用在項目中預置的公鑰進行簽名的驗證（解密上一步的密文得到一個hash值，同時本地計算離線包的hash值，判斷兩者是否相同），如果相同則通過驗證。

如果簽名校驗失敗，則刪除離線包走fallback地址。

通過離線包的驗簽機制，可以達到以下的目的：

保證了離線包的內容完整，解決解壓異常，讀取異常下的正常顯示。

保證了離線包的來源正確，不被本地惡意篡改。

2.1.3 userId信息是否設置正確

因為userId會被后續用到很多地方，比如推送，白名單。所以一般建議選擇服務端的userId字段作為存儲字段，方便后續和服務端做userId字段同步，不建議存儲個人手機號或者身份證等個人信息作為userId。

2.1.4 埋點信息是否包含敏感信息，比如交易單號

考慮到埋點的量級很大，所以mPaas的埋點默認本地是沒有做數據加密的，所以埋點信息不建議包含敏感字段，防止由于埋點導致信息泄漏。敏感字段建議走RPC的數據通道上報，保證數據安全。如果有埋點埋敏感字段的訴求，需要主動開啟埋點的本地加密配置。

2.1.5 隱私權限配置

由于現在監管機構對隱私權限管控比較嚴格，mPaas針對權限管控做了對應的接入方案。需要需要確保上線前隱私權限相關配置已經正常接入。

2.2 穩定性

2.2.1 驗證在Android4.X版本的是否可以正常使用

mPaas最低支持Android4.3版本以上，所以發布前需要驗證下低版本Android設備的可用性，遇到比較多的是在Android4.X設備上由于多dex加載導致的類找不到導致的安裝閃退問題。

2.2.2 iOS符號表是否正常上傳

發布前需要確保iOS的符號表已經上傳到mPaas后臺，方便后臺反解閃退信息。

2.2.3 熱修復模塊是否接入并且驗證通過

發布前需要確保熱修復模塊的正常接入以及驗證通過，保證上線有針對Native模塊的熱修復能力，保證異常場景下的修復能力。

2.2.4 離線包Fallback域名確認

確認Fallback域名是否是外網可訪問的地址，遇到過發布后下發的還是內網地址的case。

2.2.5 離線包模塊接入CDN

上線前做好容量評估，默認mPaas的離線包是存儲在OSS內的，但是一般建議針對離線包模塊接入CDN，通過CDN的緩存功能解決因為離線包下載導致帶寬打滿的風險，同時相對于OSS存儲來說，CDN的費用更低。接入示意圖如下：

圖2

2.2.6 RPC核心鏈路接口壓測

上線前需要對App核心鏈路的RPC接口做性能壓測，獲取接口性能瓶頸，可以用做后續的限流值的設定參考。同時需要針對RPC限流場景做演練，防止上線限流后客戶端出現各種異常。

2.2.7 發布更新功能可用

上線前需要驗證發布apk功能可用，包括發布更新的強制更新功能，保證在極端場景下，需要強制升級使用。

2.3 性能體驗

2.3.1 離線包離線功能是否正常生效

確保離線包的離線功能正常使用，防止由于離線包各種配置問題導致離線功能不生效。

2.3.2 UC內核是否正常接入

確保UC內核正確配置接入，主要解決系統Webview下的各種兼容性問題。同時UC提供了很好的穩定性，比系統webview更穩定。

2.3.3 核心鏈路離線包是否預制

在發布前，需要預制核心鏈路離線包，保證核心鏈路在極端異常場景下仍然可以打開。

參考文檔

[1]移動開發平臺 mPaaS：https://www.aliyun.com/product/mobilepaas/mpaas
[2]數據加密：https://help.aliyun.com/document_detail/72752.html?spm=a2c4g.11186623.6.732.6bb85ed3LyuYtO

我們是阿里云智能全球技術服務-SRE團隊，我們致力成為一個以技術為基礎、面向服務、保障業務系統高可用的工程師團隊；提供專業、體系化的SRE服務，幫助廣大客戶更好地使用云、基于云構建更加穩定可靠的業務系統，提升業務穩定性。我們期望能夠分享更多幫助企業客戶上云、用好云，讓客戶云上業務運行更加穩定可靠的技術，您可用釘釘掃描下方二維碼，加入阿里云SRE技術學院釘釘圈子，和更多云上人交流關于云平臺的那些事。

原文鏈接：https://developer.aliyun.com/article/783830?

版權聲明：本文內容由阿里云實名注冊用戶自發貢獻，版權歸原作者所有，阿里云開發者社區不擁有其著作權，亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容，填寫侵權投訴表單進行舉報，一經查實，本社區將立刻刪除涉嫌侵權內容。

總結

以上是生活随笔為你收集整理的mPaas上线应用检测的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。