首先明确一个关键事实：Android系统不会直接返回应用签名的keyAlias——因为keyAlias只是你本地keystore中标识密钥的别名，属于构建阶段的本地配置，并不会被打包进APK或暴露给系统。不过我们可以通过提取已安装应用的签名证书指纹信息，来精准判断它是否使用旧证书签名，这是更可靠的替代方案。

一、为什么不用keyAlias？ #

keyAlias是你在本地管理keystore时自定义的名称，APK中仅包含证书的公钥、签名摘要等信息，完全不包含keyAlias字段。所以无论通过系统API还是其他方式，都无法直接获取已安装应用的keyAlias。

二、如何获取已安装应用的签名证书指纹？ #

我们可以通过PackageManager API获取目标应用的签名信息，然后提取证书的哈希值（比如SHA-256）——旧证书和新证书的哈希值必然不同，以此作为判断依据。

示例代码（Kotlin）：

import android.content.Context
import android.content.pm.PackageManager
import java.security.MessageDigest
import java.security.NoSuchAlgorithmException

fun getAppSignatureSha256(packageName: String, context: Context): String? {
    return try {
        // 获取应用包信息（包含签名）
        val packageInfo = context.packageManager.getPackageInfo(
            packageName,
            PackageManager.GET_SIGNATURES
        )
        // 取第一个签名（多签名场景需调整，一般单签名即可）
        val signature = packageInfo.signatures[0]
        // 计算SHA-256哈希值
        val md = MessageDigest.getInstance("SHA-256")
        md.update(signature.toByteArray())
        val hashBytes = md.digest()
        // 转换为十六进制字符串（小写）
        hashBytes.joinToString("") { "%02x".format(it) }
    } catch (e: PackageManager.NameNotFoundException) {
        // 应用未安装
        null
    } catch (e: NoSuchAlgorithmException) {
        e.printStackTrace()
        null
    } catch (e: Exception) {
        e.printStackTrace()
        null
    }
}

示例代码（Java）：

import android.content.Context;
import android.content.pm.PackageInfo;
import android.content.pm.PackageManager;
import android.content.pm.Signature;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class SignatureUtils {
    public static String getAppSignatureSha256(String packageName, Context context) {
        try {
            PackageInfo packageInfo = context.getPackageManager().getPackageInfo(
                    packageName,
                    PackageManager.GET_SIGNATURES
            );
            Signature signature = packageInfo.signatures[0];
            MessageDigest md = MessageDigest.getInstance("SHA-256");
            md.update(signature.toByteArray());
            byte[] hashBytes = md.digest();
            StringBuilder sb = new StringBuilder();
            for (byte b : hashBytes) {
                sb.append(String.format("%02x", b));
            }
            return sb.toString();
        } catch (PackageManager.NameNotFoundException e) {
            return null;
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}

三、如何对比判断并执行卸载重装？ #

1. 提前获取旧证书的SHA-256哈希值：
   用keytool命令从旧密钥库中提取：

   keytool -list -v -keystore ../myapp-release.keystore -alias track-release
   

   输入密钥库密码后，找到SHA256:对应的字符串，复制保存下来（注意去掉空格）。

2. 在辅助应用中实现判断逻辑：

   val targetPackageName = "com.your.target.app"
   val oldCertSha256 = "这里替换成旧证书的SHA256哈希值"
   
   // 获取已安装应用的签名哈希
   val installedSha256 = getAppSignatureSha256(targetPackageName, context)
   
   if (installedSha256 != null && installedSha256 == oldCertSha256) {
       // 是旧证书签名的应用，执行卸载流程
       uninstallApp(targetPackageName, context)
       // 卸载完成后安装新APK
       installNewApk(context)
   } else {
       // 已是新证书签名，直接执行正常更新
       normalUpdate(context)
   }
   

3. 处理卸载和安装的权限：

   • 卸载应用需要权限：android.permission.REQUEST_DELETE_PACKAGES，在AndroidManifest.xml中声明，并且在Android 11+系统中需要引导用户手动授权。
   • 安装APK需要权限：android.permission.REQUEST_INSTALL_PACKAGES，同样需要在Manifest中声明并处理授权流程。

四、额外注意事项 #

• 若你的应用使用多签名，需要遍历所有签名并逐一对比（不过大部分场景都是单签名）。
• 哈希值的大小写要统一：代码中返回的是小写，keytool输出的可能是大写，对比时要转换成一致的格式。
• 卸载后安装新APK时，要确保用户体验流畅，比如弹出提示告知用户需要卸载重装的原因。

内容的提问来源于stack exchange，提问作者user565