自定义Android应用的访问权限
2011-08-09 17:02
225 查看
本文来自:安卓航班网
由于Android部分设计原理较为开放,可能通过Intent或PackageManager就可以解析处理调用其他应用的子类,所以在部分应用中需要做更多的安全处理,保证应用内部的稳定性和安全性。强烈大家仔细阅读本文,这将会对您在构架Android应用时减少一些隐患的发生。
稳定性: 部分类可能没有数值的传入将会导致可能初始化失败,造成Force Close等问题。
安全性: 其他应用调用本程序的SQL数据库等问题,可能会造成一些无法预料到的损失。
一、Android应用内部安全保护
为了考虑内部部分敏感数据处理的安全性加入类ACL访问控制,当然使用了更加灵活的,比如UID、SID、PID等多种方式:今天Android开发网一起和大家谈论下开发过程中的处理细节。
1. 部分私有的配置信息,或相对轻量级的内容,可以使用SharedPreferences接口提供的相关方法处理,并设置为安全标志位私有MODE_PRIVATE,不过需要注意的是该方方仅能但进程调用。
2. SQLite的安全问题,对于Content Provider的处理权限,在Android中可以直接显示的声明,比如在androidmanifest.xml中声明读或写权限,在Provider节点中,声明android:writePermission或android:readPermission属性,当然其他程序声明了这些权限也可以访问,这时我们可以通过 android:authorities属性限制一个类的访问,比如android:authorities="cn.com.android123.cwj" 。最终类似
<provider
android:name="cwjProvider"
android:authorities="cn.com.android123.cwjProvider"
android:writePermission="cn.com.android123.cwj.permission.WRITE_DATABASE"
android:readPermission="cn.com.android123.cwj.permission.READ_DATABASE" />
这里提示大家,数据库本身的读写可以处理多线程问题,但是数据的先后可以考虑同步问题,设置android:multiprocess="true"属性来保证数据的正确性,相关问题不在本文讨论范围内,我们可能会在以后的内容中涉及这部分问题。
3. Activity、Service和Receiver的权限声明方式,可以直接使用android:permission属性,具体的和上面的SQLite安全一样的处理方式,演示代码如下
<activity
android:name=".cwj"
android:authorities="cn.com.android123"
android:permission="cn.com.android123.cwj.permission.ACCESS"/>
二、Permission的声明
<permission
android:name="cn.com.android123.cwj.permission.ACCESS"
android:protectionLevel="normal"
android:label="@string/permission_aceess"
android:description="@string/permission_aceess_detail" />
当然还有可选的属性比如说android:protectionLevel="normal"设置保护权限,还有必须签名signature,当然这里对于权限分组我们可以通过类似permission的方法来声明permissionGroup,或直接使用系统的,比如android:permissionGroup="android.permission-group.SYSTEM_TOOLS"最终其他应用中调用,可以显示的在自己的manifest.xml中声明即可,类似 <uses-permission android:name="cn.com.android123.cwj.permission.ACCESS" />
三、账户安全声明
直接在androidmanifest.xml中的Application中直接声明,比如标准用户权限类似android:sharedUserId="android.uid.shared",当然处理一些RIL方面的可以声明类似 android.uid.phone 的权限,处理一些更敏感的数据。
四、对于Service而言除了限制访问的package外,我们还可以通过直接绑定并参数判断的访问来处理尽量不使用android:exported="true"的导出方法,当然通过broadcast方式通讯可以通过intent的extra方式可以做一些简单的验证。
五、PID的安全问题,通过限制processID的方式限制访问,仅允许在同一个进程空间访问。
原文地址:http://www.apkway.com/forum.php?mod=viewthread&tid=2658&extra=page%3D1
由于Android部分设计原理较为开放,可能通过Intent或PackageManager就可以解析处理调用其他应用的子类,所以在部分应用中需要做更多的安全处理,保证应用内部的稳定性和安全性。强烈大家仔细阅读本文,这将会对您在构架Android应用时减少一些隐患的发生。
稳定性: 部分类可能没有数值的传入将会导致可能初始化失败,造成Force Close等问题。
安全性: 其他应用调用本程序的SQL数据库等问题,可能会造成一些无法预料到的损失。
一、Android应用内部安全保护
为了考虑内部部分敏感数据处理的安全性加入类ACL访问控制,当然使用了更加灵活的,比如UID、SID、PID等多种方式:今天Android开发网一起和大家谈论下开发过程中的处理细节。
1. 部分私有的配置信息,或相对轻量级的内容,可以使用SharedPreferences接口提供的相关方法处理,并设置为安全标志位私有MODE_PRIVATE,不过需要注意的是该方方仅能但进程调用。
2. SQLite的安全问题,对于Content Provider的处理权限,在Android中可以直接显示的声明,比如在androidmanifest.xml中声明读或写权限,在Provider节点中,声明android:writePermission或android:readPermission属性,当然其他程序声明了这些权限也可以访问,这时我们可以通过 android:authorities属性限制一个类的访问,比如android:authorities="cn.com.android123.cwj" 。最终类似
<provider
android:name="cwjProvider"
android:authorities="cn.com.android123.cwjProvider"
android:writePermission="cn.com.android123.cwj.permission.WRITE_DATABASE"
android:readPermission="cn.com.android123.cwj.permission.READ_DATABASE" />
这里提示大家,数据库本身的读写可以处理多线程问题,但是数据的先后可以考虑同步问题,设置android:multiprocess="true"属性来保证数据的正确性,相关问题不在本文讨论范围内,我们可能会在以后的内容中涉及这部分问题。
3. Activity、Service和Receiver的权限声明方式,可以直接使用android:permission属性,具体的和上面的SQLite安全一样的处理方式,演示代码如下
<activity
android:name=".cwj"
android:authorities="cn.com.android123"
android:permission="cn.com.android123.cwj.permission.ACCESS"/>
二、Permission的声明
<permission
android:name="cn.com.android123.cwj.permission.ACCESS"
android:protectionLevel="normal"
android:label="@string/permission_aceess"
android:description="@string/permission_aceess_detail" />
当然还有可选的属性比如说android:protectionLevel="normal"设置保护权限,还有必须签名signature,当然这里对于权限分组我们可以通过类似permission的方法来声明permissionGroup,或直接使用系统的,比如android:permissionGroup="android.permission-group.SYSTEM_TOOLS"最终其他应用中调用,可以显示的在自己的manifest.xml中声明即可,类似 <uses-permission android:name="cn.com.android123.cwj.permission.ACCESS" />
三、账户安全声明
直接在androidmanifest.xml中的Application中直接声明,比如标准用户权限类似android:sharedUserId="android.uid.shared",当然处理一些RIL方面的可以声明类似 android.uid.phone 的权限,处理一些更敏感的数据。
四、对于Service而言除了限制访问的package外,我们还可以通过直接绑定并参数判断的访问来处理尽量不使用android:exported="true"的导出方法,当然通过broadcast方式通讯可以通过intent的extra方式可以做一些简单的验证。
五、PID的安全问题,通过限制processID的方式限制访问,仅允许在同一个进程空间访问。
原文地址:http://www.apkway.com/forum.php?mod=viewthread&tid=2658&extra=page%3D1
相关文章推荐
- 自定义Android应用的访问权限
- android 7.0系统怎么让应用开机就自动设置访问权限。
- 【Android进阶篇】自定义应用权限
- Android 编程下如何获取有 Internet 访问权限的应用
- android自定义访问权限permission
- android自定义访问权限permission
- android自定义访问权限permission 推荐
- Android 自定义应用permission 权限给其他应用方式
- android - 解决“应用自定义权限重名”
- android自定义访问权限permission
- android应用没有Internet的访问权限怎样向服务器提交数据
- 【Android进阶篇】自定义应用权限
- android自定义访问权限
- Android项目实战--手机卫士30--读取应用的权限以及自定义Toast
- Android应用开发自定义图片剪辑头像设置
- 无废话Android之listview入门,自定义的数据适配器、采用layoutInflater打气筒创建一个view对象、常用数据适配器ArrayAdapter、SimpleAdapter、使用ContentProvider(内容提供者)共享数据、短信的备份、插入一条记录到系统短信应用(3)