Electron ASAR 完整性

平台支持​

目前只在 macOS 上支持ASAR完整性检查。

要求​

Electron Forge / Electron Packager

如果你使用 >= electron-packager@15.4.0 或 >= @electron-forge/core@6.0.0-beta.61 那么将满足所有需求。

其他构建系统

为了启用ASAR 完整性检查，你需要确保 app.asar 文件是由支持 asar 完整性的 asar npm 软件包生成的。 版本 3.1.0中引入了支持。

然后，您必须在打包的应用程序 Info.plist 中填充有效的 ElectronAsarIntegrity 字典块。下面包含一个示例。

<key>ElectronAsarIntegrity</key>
<dict>
  <key>Resources/app.asar</key>
  <dict>
    <key>algorithm</key>
    <string>SHA256</string>
    <key>hash</key>
    <string>9d1f61ea03c4bb62b4416387a521101b81151da0cfbe18c9f8c8b818c5cebfac</string>
  </dict>
</dict>

有效算法值当前仅为 SHA256。散列是使用给定算法的 ASAR 标头的散列。 asar 包公开了一个 getRawHeader 方法，然后可以对其结果进行哈希处理以生成此值。

Toggling the Fuse（切换保险丝）​

ASAR 完整性检查目前默认处于禁用状态，可以通过切换保险丝来启用。有关什么是电子保险丝及其工作原理的更多信息，请参阅电子保险丝。启用此保险丝时，您通常还希望启用 onlyLoadAppFromAsar 保险丝，否则可以通过 Electron 应用程序代码搜索路径绕过有效性检查。

require('@electron/fuses').flipFuses(
  // 比如 /a/b/Foo.app
  pathToPackagedApp,
  {
    version: FuseVersion.V1,
    [FuseV1Options.EnableEmbeddedAsarIntegrityValidation]: true,
    [FuseV1Options.OnlyLoadAppFromAsar]: true
  }
)