最近给 Notchy 加了自动更新。原先的”检查更新”功能很糙：调一下 GitHub Releases API 看有没有新版本，发现有就开浏览器跳到 release 页面，让用户自己下 dmg、自己拖进 Applications。

这显然算不上”自动”。理想体验是：发现新版本 → 自动下载 → 校验签名 → 替换 App → 重启。这一套自己写也可以，但 macOS 生态二十年前就有现成的轮子 —— Sparkle。

接进去之后回头看，整个事情比想象中简单，但中间踩了几个不算直觉的坑，整理一下。

Sparkle 是什么

Sparkle 是 macOS 上事实标准的开源自动更新框架，从 2006 年用到现在。Transmission、VLC、Handbrake、Sequel Pro、Tower、Hammerspoon、iStat Menus …… 基本上你在 App Store 之外用过的、有自动更新的 Mac App，十有八九背后都是它。

工作流大致这样：

1. App 启动或定时，Sparkle 去服务器拉一份 appcast.xml
2. xml 里列着最新版本号、下载地址、文件大小、加密签名
3. 客户端对比版本，发现有更新就弹框问用户
4. 用户点”安装”，Sparkle 后台下载 zip、校验签名是不是你这个开发者签的、没问题就解压、替换 .app、关掉旧进程、启动新的

对用户来说就是一个对话框加一次重启。对开发者来说就是发版时多产出一份 appcast.xml。

谁适合用

两种情况不太适合：上架 Mac App Store 的 App（商店本身有更新机制，且 App Store 也不允许 App 自己拉远端代码下来执行），以及强沙盒 App（Sparkle 2 技术上支持沙盒，但配置麻烦得多，要走 XPC service 隔离）。

比较适合的：自己 Developer ID 签名 + 公证 + 通过官网或 GitHub Releases 分发的独立 Mac App。这也是 Notchy 这类小工具最常见的发布方式。

什么是 EdDSA

Sparkle 在客户端校验更新包真伪用的是 EdDSA 签名。这一步对安全至关重要 —— 没有它，任何能劫持你 appcast URL 的人都能给你的用户推一个伪造的更新包。

EdDSA（Edwards-curve Digital Signature Algorithm）是基于椭圆曲线的数字签名算法。相比经典的 RSA，密钥短得多（公私钥各 32 字节，base64 后大约一行），签名快，对边信道攻击有自带防御。

具体在 Sparkle 里：

1. 你本机生成一对密钥（私钥 + 公钥）
2. 公钥写进 App 的 Info.plist（SUPublicEDKey 字段，会被烧进每一份发出去的 App）
3. 私钥只留在你的本机 Keychain 和 CI 的 secret 里
4. 每次发版，用私钥给 zip 算一个签名，写进 appcast.xml
5. 客户端下载 zip 后，用嵌在自己 binary 里的公钥校验签名

关键是：就算坏人完全控制了 appcast 服务器，他也伪造不出合法签名—— 除非他拿到了你的私钥。Apple 的公证和 Developer ID 不是 Sparkle 安全的最后一道防线，Sparkle 自带的 EdDSA 签名才是。

也因此：私钥一旦丢了，就再也没法给老用户推新版了—— 公钥已经烧进每一份分发出去的 App 里，没有匹配的私钥就永远签不出合法的更新包。生成后立刻备份到 1Password 或加密 U 盘里，是必做的事。

怎么接

整个接入分四部分：客户端、Info.plist、密钥、CI 流水线。一个个来。

1. SPM 引依赖

Xcode 里 File → Add Package Dependencies，地址：

版本选 up to next major，最低 2.x。Sparkle 2 是现代版本，支持沙盒、XPC 隔离、阶段化推送等。

引入之后写一个最简的 controller：

然后在 AppDelegate.applicationDidFinishLaunching 里引用一下让它实例化：

定时检查、自动下载、弹框 UI、安装重启 —— Sparkle 全包了。”Check for Updates…” 按钮只需要接到 controller.checkForUpdates(nil)。

2. 配 Info.plist

Sparkle 至少需要这三个 key：

SUFeedURL 一般有两种托管方式：

• 单独搞个 GitHub Pages / 自家 CDN，URL 固定
• 直接用 GitHub Release 的稳定链接：https://github.com/<owner>/<repo>/releases/latest/download/appcast.xml

第二种最省事 —— GitHub 这个 URL 永远 redirect 到最新 release 里叫 appcast.xml 的那个 asset，发版时把 xml 当资产上传一份就行，零额外服务。

3. 生成 EdDSA 密钥

Sparkle 自带 generate_keys 工具。SPM 解出来后能在这里找到：

直接跑（不带参数）会在 macOS Keychain 里生成一对 ed25519 密钥，并打印公钥。把这个公钥贴进 SUPublicEDKey。

要拿私钥（CI 要用）：

文件里就是私钥的 base64 字符串。把这个字符串塞进 CI 的 secret 里（GitHub Actions 里我用的名字是 SPARKLE_PRIVATE_KEY）。本地的私钥文件备份后立刻删掉，因为它是明文。

4. 发版流水线

每次发版多做两件事：

1. 用私钥给 zip 签名：Sparkle 自带的 sign_update 工具，输入 zip + 私钥文件，输出 sparkle:edSignature="..." length="..." 这一行
2. 生成 appcast.xml：把版本号、下载 URL、上一步的签名、文件大小、release notes 套进 RSS 模板

最终 appcast.xml 长这样：

注意 <description> 里直接内嵌 release notes 的 HTML —— Sparkle 弹框会原地渲染。如果用 <sparkle:releaseNotesLink> 指向 GitHub release 详情页，Sparkle 会用 WebView 加载那个 URL，GitHub 整站的导航条、登录按钮、左侧栏全会被渲染进对话框里，体验极差。这是亲自踩过的坑。

几个不那么直觉的细节

Sparkle helper 的重签问题

这是当时折腾最久的一个。接入做完、编译一切正常、archive 顺利出来、codesign --verify --deep --strict 全绿、所有嵌套件都 --validated。一切看着都对，提交给 notarytool 跑公证 —— 几十秒后回来一个 status: Invalid。

紧接着脚本继续往下跑 staple，挂在了一个看似毫不相关的错误上：

第一反应是网络抖动或 Apple 服务器问题，重跑一次 —— 还是一样。其实 CloudKit 这个错是 staple 在找还没存在的公证票据，根因是上一步 notarytool 返回了 Invalid。

跑一下 xcrun notarytool log <submission-id>，真相终于浮出水面：

原因清楚了：Sparkle 通过 SPM 编译出来时，里面这四个 helper（Autoupdate、Updater.app、Downloader.xpc、Installer.xpc）自带的是 ad-hoc 签名，不是你的 Developer ID 签的，也没有安全时间戳。codesign --verify 只检查签名链是否完整、本机能否校验通过，不检查”谁签的”，所以看上去全绿 —— 但 Apple 公证要求每个嵌套可执行文件都用你的 Developer ID 加 secure timestamp 签。

解决办法：archive 完成之后，按由内向外的顺序手动重签 —— 四个 helper、framework 本身、外层 .app，每一步都带 --options runtime --timestamp，最外层那一次还要带回原本的 entitlements 文件。每改动一层嵌套件，外面的封印就破了，必须重新盖一次。

首次升级有断层

接入 Sparkle 的那一版才开始有 Sparkle，再老的版本没有。所以”老版本 → 你接入 Sparkle 的这一版”这次升级用户还得手动下，没办法。从下个版本起才是真的自动。

版本号字段都要写

Sparkle 客户端比较新旧版本时看的是 CFBundleShortVersionString 和 CFBundleVersion。两个字段都不能漏，且服务端 appcast 里 <sparkle:version> 和 <sparkle:shortVersionString> 要和 App 里的对得上，否则版本判断会出意外。

小结

接入 Sparkle 的核心动作就那几下：

• SPM 加依赖、写个最小的 SPUStandardUpdaterController
• Info.plist 写好 feed URL 加公钥
• 生成 EdDSA 密钥对，公钥写 plist、私钥进 Keychain 和 CI secret
• 发版时多产出 appcast.xml，签好上传

接完之后，发版就是推个 tag，CI 自动签、公证、生成 appcast、上传。用户那边就是某天打开 App，弹框告诉他有新版本，点一下、重启，完事。

如果你也在写独立的 macOS 小工具，自动更新这一步真的值得做 —— 它把”我有时间发版”和”老用户能用上新功能”这两件事彻底脱钩。

还记得3月底的时候，在X上火过一段时间的那个Notchy吗？

当时我就下载着试用过，发现点子非常不错，也很实用，但当时还有一些小bug，于是搁置了。

今天突然又想到了，想着过了这么久，应该进化了不少吧？

于是有去GitHub看了一眼，发现原作者似乎没有在维护了。。。

想着这么好的一个项目，就这么荒废着实有点可惜，我就给接手维护一个版本吧。正好昨天研究CCAS的打包，也就顺手给打了一个包。供大家更方便地下载使用。。。

虽然我也修了一些，也合并了一些原repo里的PR，但肯定还有不少问题，如果大家有遇到，欢迎提issue，更欢迎提PR。

附上原作者的推文，以示感谢。

点击查看全文 »

写 CCAS 的时候要做的事其实很本质：在多个 Claude 账号之间切换。第一个要弄清楚的是 —— Claude Code 把自己的 OAuth credentials 存在哪？

翻一下之前泄露的代码很容易就知道了：在 macOS Keychain 里，service 名字是 Claude Code-credentials。你现在就可以在终端里看一眼：

会打印出一坨 JSON，里面就是 access token、refresh token 这些。

这不是 Claude Code 的”小众”选择 —— 各种 IDE、CLI、Apple 自家的 Safari Mail，所有在 macOS 上要存”密码、token、密钥”的程序，默认就该放进 Keychain。它是这台机器上事实标准的敏感数据存储。

那它到底是什么？

Keychain 是什么

最直白的描述：Keychain 是 macOS 自带的加密键值数据库，专门为存敏感数据设计。每条记录由系统加密，挂在登录用户的身份下，由 securityd 这个常驻守护进程管理。

它的物理形态是磁盘上的几个文件，常见的有：

你不会直接读这些文件 —— 它们是加密的 SQLite，主密钥跟你的登录密码绑定。读写都要走系统 API，由 securityd 解锁后再返回明文。

它解决了什么

如果不用 Keychain，自己拿个 JSON 文件存 token 行不行？技术上可以，但你要面对几个问题：

1. 磁盘加密

文件丢在 ~/.config/ 下是明文。任何能读你 home 目录的进程都能拿到（包括别的 app、误装的恶意脚本）。即便你给文件 chmod 600，磁盘镜像被拷走照样能看。

Keychain 用 AES 加密，主密钥来自你的登录密码 —— 机器没登录、密码不对，磁盘镜像里的内容就解不出来。

2. 进程隔离

文件系统只有”用户级”权限。但同一用户跑的所有 app 是平等的：Claude Code 写下的 token，理论上你装的任何一个三方 app 都能读。

Keychain 的每条记录带 ACL（access control list），记录”谁创建的、谁可以读”。当一个 app 试图读另一个 app 创建的条目时，系统会弹窗让用户确认。这是文件系统本身做不到的。

3. 用户可见、可管理

打开 Keychain Access.app，你能看到所有条目、谁创建的、什么时候改的，可以手动删。要 export 还得再输一次登录密码。

4. 跨设备同步

勾上 “iCloud Keychain” 之后，相应条目会端到端加密同步到你登录同一 Apple ID 的其他 Mac、iPhone、iPad。Safari 的密码、WiFi 密码、Apple Pay 卡号走的都是这个。

数据模型

Keychain 里有几类 item，最常用的是 generic password（任意 key-value 的密钥/token，多数 app 自定义存储用这个）和 internet password（带 protocol/host/port/path 字段，Safari 存网站密码用）。此外还有 certificate、key（公私钥对）、identity（cert + key 对）。

generic password 的核心字段就两个：

• service：通常用 reverse-DNS 风格的命名空间，例如 com.apple.account 或 Claude Code-credentials。
• account：同一 service 下区分多条记录的标识，通常是用户名或邮箱。

service + account 唯一定位一条记录。Password 字段本身可以是任意字节（你完全可以塞一整段 JSON 进去，Claude Code 就是这么干的）。

怎么读写：security 命令

Apple 给开发者两套接口：

• C API：SecItem* 这一族（旧的 SecKeychain* 已经不推荐）。Swift / Objective-C app 一般用这个。
• 命令行 /usr/bin/security：脚本和调试用。

CCAS 走的是后者，省得对接 C API；好处是用户自己在终端就能验证一切。最常用的三条：

-s 是 service，-a 是 account，-w 表示”只把 password 内容打到 stdout”。不加 -w 会打印所有属性元数据，但隐去 password。

更多有用的子命令：

几个不那么直觉的细节

search list：系统其实管理着一个 keychain “搜索列表”，security find-* 默认遍历整个列表。常见情况下只有 login.keychain-db，但用户/MDM 可能加挂别的。如果某条记录意外落在搜索列表外的 keychain 里，会出现”dump 看得到、find 找不到”的现象，这时候要在命令末尾显式带上 keychain 路径。

密码存二进制：用 -w "value" 写入时整个参数被当作 UTF-8 字符串。如果 value 里有换行、引号、控制字符，shell 转义会很烦人。更可靠的方式是 -X hex，把内容先转 hex 再交给 security，由它自己 decode 后存原始字节。

-U 不一定是真正的 upsert：add-generic-password -U 文档说”如果存在则更新”，但匹配条件偏严，遇到某些属性差异会判定为”新条目”再插一条。同 service+account 的重复记录会越积越多。要 idempotent 的话，先 delete 再 add 更稳。

account 不是严格过滤：find-generic-password -s SVC -a ACCT 如果 account 没精确匹配，可能 fallback 命中同 service 下别的 account —— 不报错，直接返回别人的内容。读完后再校验返回值是个好习惯。

小结

Keychain 是 macOS 上存敏感数据的标准答案。它做的事不复杂 —— 加密、隔离、用户可控、可同步 —— 但是把这四件事做齐了，且对开发者基本零成本。

下次写 Mac app 要存 token、API key 或者密码，不用犹豫，直接 SecItem / security 走起，比自己掂量”放哪、加什么密、谁能读”省太多事。

如今这AI时代，如果你也写写代码，我相信你肯定在用一些AI工具了吧？

如果你恰好用的也是Claude code，那大概率也会因为每月20$的pro套餐用量不够而烦恼吧？这时，如果你不差钱，可能就直接订阅200$的max套餐了，但如果你也觉得200刀有点下不去手，那可能再买一个20刀，就是更加可以接受的方案了。

此时，你就会遇到两个Claude账号频繁切换的问题了。。。那你可能就需要这个小工具了。

功能挺简单的，也无需我过多介绍了，直接看图就能明白了。这是一个macOS下的菜单栏小工具。可以同时登录多个Claude账号，能查看每个账号的余量，能帮你快速切换账号。

截图里，我的账号1是公司给开的enterprise账号，一个月200$的token（也是不经用的）；账号2是我自己的pro账号。两种账号都是支持的。

工具以MIT开源。代码在GitHub。等我再整理一下，放个编译好的二进制吧。