如果您正在为客户开发应用程序,则不应真正持有签名密钥。由于这是他们的应用程序,他们应该拥有签名密钥并发布它。理想情况下,您会向他们发送他们将签名和发布的未签名 APK。如果他们不能/不想这样做,您应该为每家公司提供单独的密钥。首先,因为在某些时候他们可能会要求您交出它,其次是在密钥库丢失或损坏时限制损坏。
此外,您的问题没有明确说明这一点,但无论如何管理密钥库文件,都应为每个客户端使用不同的密钥。否则,如果两个应用碰巧安装在同一设备上并使用签名级权限,则客户端 A 可能会访问客户端 B 的数据。