- <permission android:description="string resource"
- android:icon="drawable resource"
- android:label="string resource"
- android:name="string"
- android:permissionGroup="string"
- android:protectionLevel=["normal" | "dangerous" |
- "signature" | "signatureOrSystem"] />
android:description :对权限的描述,一般是两句话,第一句话描述这个权限所针对的操作,第二句话告诉用户授予app这个权限会带来的后果 android:label: 对权限的一个简短描述 android:name :权限的唯一标识,一般都是使用 报名加权限名 android:permissionGroup: 权限所属权限组的名称 android:protectionLevel: 权限的等级, normal 是最低的等级,声明次权限的app,系统会默认授予次权限,不会提示用户 dangerous 权限对应的操作有安全风险,系统在安装声明此类权限的app时会提示用户 signature 权限表明的操作只针对使用同一个证书签名的app开放 signatureOrSystem 与signature类似,只是增加了rom中自带的app的声明 android:name 属性是必须的,其他的可选,未写的系统会指定默认值 下面通过指定一个BroadcastReceiver的权限来实验 首先创建了两个app,app A ,app B ; app A中注册了一个BroadcastReceiver ,app B 发送消息 app A的menifest文件:
- <manifest xmlns:android="http://schemas.android.com/apk/res/android"
- package="com.example.testbutton"
- android:versionCode="1"
- android:versionName="1.0" >
- <uses-sdk
- android:minSdkVersion="7"
- android:targetSdkVersion="15" />
- <!-- 声明权限 -->
- <permission android:name="com.example.testbutton.RECEIVE" />
- <application
- android:icon="@drawable/ic_launcher"
- android:label="@string/app_name"
- android:theme="@style/AppTheme" >
- <activity
- android:name=".MainActivity"
- launcheMode="singleTask"
- android:configChanges="locale|orientation|keyboardHidden"
- android:screenOrientation="portrait"
- android:theme="@style/android:style/Theme.NoTitleBar.Fullscreen" >
- <intent-filter>
- <action android:name="android.intent.action.MAIN" />
- <category android:name="android.intent.category.LAUNCHER" />
- </intent-filter>
- </activity>
- <!-- 注册Broadcast Receiver,并指定了给当前Receiver发送消息方需要的权限 -->
- <receiver
- android:name="com.example.testbutton.TestButtonReceiver"
- android:permission="com.example.testbutton.RECEIVE" >
- <intent-filter>
- <action android:name="com.test.action" />
- </intent-filter>
- </receiver>
- </application>
- </manifest>
app B 的menifest 文件内容
- <manifest xmlns:android="http://schemas.android.com/apk/res/android"
- package="com.example.testsender"
- android:versionCode="1"
- android:versionName="1.0" >
- <uses-sdk
- android:minSdkVersion="7"
- android:targetSdkVersion="15" />
- <!-- 声明使用指定的权限 -->
- <uses-permission android:name="com.example.testbutton.RECEIVE" />
- <application
- android:icon="@drawable/ic_launcher"
- android:label="@string/app_name"
- android:theme="@style/AppTheme" >
- <activity
- android:name=".MainActivity"
- android:label="@string/title_activity_main" >
- <intent-filter>
- <action android:name="android.intent.action.MAIN" />
- <category android:name="android.intent.category.LAUNCHER" />
- </intent-filter>
- </activity>
- </application>
- </manifest>
这样app B 给app A 发送消息,A就可以收到了,若未在app B的menifest文件中声明使用相应的权限,app B发送的消息,A是收不到的。 另外,也可在app B 的menifest文件中声明权限时,添加android:protectionLevel=“signature”,指定app B只能接收到使用同一证书签名的app 发送的消息。
由于Android部分设计原理较为开放,可能通过Intent或PackageManager就可以解析处理调用其他应用的子类,所以在部分应用中需要做更多的安全处理,保证应用内部的稳定性和安全性。
稳定性: 部分类可能没有数值的传入将会导致可能初始化失败,造成Force Close等问题。
安全性: 其他应用调用本程序的SQL数据库等问题,可能会造成一些无法预料到的损失。
一、Android应用内部安全保护
为了考虑内部部分敏感数据处理的安全性加入类ACL访问控制,当然使用了更加灵活的,比如UID、SID、PID等多种方式。
1. 部分私有的配置信息,或相对轻量级的内容,可以使用SharedPreferences接口提供的相关方法处理,并设置为安全标志位私有MODE_PRIVATE,不过需要注意的是该方法仅能本进程调用。
2. SQLite的安全问题,对于Content Provider的处理权限,在Android中可以直接显示的声明,比如在androidmanifest.xml中声明读或写权限,在Provider节点中,声明android:writePermission或android:readPermission属性,当然其他程序声明了这些权限也可以访问,这时我们可以通过 android:authorities属性限制一个类的访问,比如android:authorities="cn.com.android.cwj" 。最终类似
<provider
android:name="cwjProvider" android:authorities="cn.com.android.cwj" android:writePermission="cn.com.android.cwj.permission.WRITE_DATABASE" android:readPermission="cn.com.android.cwj.permission.READ_DATABASE" />数据库本身的读写可以处理多线程问题,但是数据的先后可以考虑同步问题,设置android:multiprocess="true"属性来保证数据的正确性,相关问题不在本文讨论范围内,我们可能会在以后的内容中涉及这部分问题。
3. Activity、Service和Receiver的权限声明方式,可以直接使用android:permission属性,具体的和上面的SQLite安全一样的处理方式,演示代码如下
<activity
android:name=".cwj" android:authorities="cn.com.android" android:permission="cn.com.android.cwj.permission.ACCESS"/>二、Permission的声明
<permission
android:name="cn.com.android.cwj.permission.ACCESS" android:protectionLevel="normal" android:label="@string/permission_aceess" android:description="@string/permission_aceess_detail" />当然还有可选的属性比如说android:protectionLevel="normal"设置保护权限,还有必须签名signature,当然这里对于权限分组我们可以通过类似permission的方法来声明permissionGroup,或直接使用系统的,比如android:permissionGroup="android.permission-group.SYSTEM_TOOLS"最终其他应用中调用,可以显示的在自己的manifest.xml中声明即可,类似 <uses-permission android:name="cn.com.android.cwj.permission.ACCESS" />
三、账户安全声明
直接在androidmanifest.xml中的Application中直接声明,比如标准用户权限类似
android:sharedUserId="android.uid.shared" ,当然处理一些RIL方面的可以声明类似 android.uid.phone 的权限,处理一些更敏感的数据。
四、Service安全
对于Service而言除了限制访问的package外,我们还可以通过直接绑定并参数判断的访问来处理尽量不使用android:exported="true"的导出方法,当然通过broadcast方式通讯可以通过intent的extra方式可以做一些简单的验证。
五、PID的安全问题
PID的安全问题,通过限制processID的方式限制访问,仅允许在同一个进程空间访问。
六、android permissionLevel
在permissionLevel的定义时设置了android:protectionLevel这一项。取值范围有四种:
"normal" "dangerous" "signature" "signatureOrSystem" 如果定义的是前面两种normal或者dangerous, 我们自己的应用需要去访问其对应受保护的资源时只需要在androidManifest.xml中添加相同的uses-permission就行了。 如果是signature, 我们仅仅添加对权限的使用还不行, 必须同时具有相同的签名。 如果是signatureOrSystem, 不仅要有相同的签名, 还必须有相同的sharedUserId.