Android是一个权限分离的操作系统,每个应用以唯一的身份标识(Linux用户ID和组ID)运行。系统的不同部分也分成不同的身份。因而Linux把应用之间以及应用与系统之间相互隔离起来。
附加细粒度的安全功能是通过一个“许可”的机制,限定特定的进程能够执行指定的操作以及给予对每一个资源点对点的访问的URI许可。
安全体系结构
Android安全体系结构设计中心是没有任何一个应用程序在默认情况下可以执行对其他应用程序、操作系统或者用户有害的操作。其中包括读写用户的私有数据(例如联系人或者电子邮件),读写其他应用程序的文件,进行网络访问或者唤醒设备,等等。
由于内核让每个应用程序运行在独立的沙盒中,应用程序必须明确的分配资源和数据。他们通过声明他们所需要的但是沙盒没有提供的权限来做这些。应用程序静态的声明他们所需要的权限,android系统在程序安装时提示用户同意它们获取这些权限。Android没有准许动态权限机制,因为它会使用户体验复杂对安全不利。
内核独自地为彼此的沙盒应用负责。特别Dalvik虚拟机不是一个安全的边界,而且任何的应用程序都能够运行本地代码(查看Android NDK)。所有类型的应用程序——java、native和混合的——均用相同的方式置于砂箱中并且有着相同的安全等级。
应用程序签名
所有的Android应用程序(apk文件)必须使用一个开发人员掌握私钥的证书进行签名。证书用于识别应用程序的作者。该证书并不需要由证书颁发机构进行签名:它是非常宽松的,典型的Android应用程序使用自签名的证书。Android证书的目的是区分应用程序的作者。这样就可以允许操作系统授予或者拒绝应用程序使用签名级别的权限和操作系统授予或者拒绝应用程序请求和其他应用程序相同的Linux身份。
用户ID和文件访问
在安装的时候,Android给予每个程序包不同的Linux用户ID。软件包在设备上的生命周期中身份标识保持恒定不变。在不同的设备上,相同的软件包可能会有一个不同的UID;重要的是每个包都有不同的身份标识在给定的设备上。
因为安全在进程级别上实现,两个软件包的代码不能够正常的运行在同一个进程中,因为他们需要以不同的Linux用户运行。可以使用每个程序包的 AndroidManifest.xml中的manifest标签中的shareUserId属性将它们分配相同的用户ID。这样做是为了安全,把两个应用程序包看作同一个应用程序,拥有同样的用户ID和文件权限。既然为了保持安全,为了保持安全,只有具有相同签名(并请求同样的 sharedUserId)的应用程序才会分配通用的用户ID。
任何由应用程序存储的数据将被赋予应用程序的用户ID,正常情况不能被其它应用程序访问。当使用 getSharedPreferences(String, int), openFileOutput(String, int), 或 openOrCreateDatabase(String, int, SQLiteDatabase.CursorFactory)创建一个新的文件时,你可以使用MODE_WORLD_READABLE或 MODE_WORLD_WRITEABLE标记允许任何其他应用程序来读/写入文件。当设置这些标记,该文件仍然为创建文件的应用程序所拥有,但是它全局的读写权限已经被设置,所以任何其他应用程序可以看到它。
使用权限
一个Android应用程序没有任何权限,这意味着它不能做任何会对用户体验或设备上的任何数据造成不利影响的操作。利用该设备的保护功能,必须在AndroidManifest.xmlone文件中的一个或多个<uses-permission>标签上声明应用程序所需要的权限。
例如,一个应用程序需要监控接收短信会指定:
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.android.app.myapp" >
<uses-permission android:name="android.permission.RECEIVE_SMS" />
</manifest>
在应用程序安装时,应用程序所需的权限被安装者基于签名的应用程序所声明的权限交互的进行授权。应用程序运行时不会进行权限检查:它要么在安装后被给予一个特殊的权限,并且可以使用它期望的权限,要么就不被授予权限,并且任何试图使用这些权限将会失败并没有用户提示。
通常一个请求权限的失败将导致应用程序抛出一个SecurityException异常。但是并不能够保证一定会发生。例如,sendBroadcast(Intent)方法在所有数据被投递到接收者,当方法返回后才会进行对于数据的权限检查,所以假如权限异常也不能接收到任何权限异常。几乎所有情况下,权限异常将会记录在日志中。
将在所有Android系统提供的权限可以在Manifest.permission中找到。任何应用程序也可以定义并执行其自己的权限,所以这不是一个对于所有可能的权限的全面的清单。
任何应用程序也可以定义并执行其自己的权限:
l 当调用系统调用时,阻止应用程序执行特定的功能。
l 当启动一个Activity时,阻止应用程序启动其他应用程序的Activity。
l 在发送或接受广播时,控制谁可以接受你的广播或者谁可以向你发送广播。
l 谁可以访问或操作一个特定的内容提供者。
l 绑定或者启动一项服务。
声明和实施许可
为了执行你自己的权限,你必须首先在你的AndroidManifest.xml中使用一个或多个<permission>标签声明它们。
例如,一个应用程序想要控制谁能够开始它的一个Activity,可以声明此操作的权限如下:
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.me.app.myapp" >
<permission android:name="com.me.app.myapp.permission.DEADLY_ACTIVITY"
android:label="@string/permlab_deadlyActivity"
android:description="@string/permdesc_deadlyActivity"
android:permissionGroup="android.permission-group.COST_MONEY"
android:protectionLevel="dangerous" />
...
</manifest>
<protectionLevel>属性是必须的,它告诉系统户当其它应用程序需要该权限或者谁可以持有该权限时怎样通知用。
<permissionGroup> 属性是可选的,用于帮助系统展示的权限给用户。您通常会希望将它设置为一个标准的系统组(在 android.Manifest.permission_group中)或者在更多罕见的情况下由自己进行定义。它优先使用现有的组,用于简化权限UI 展示给用户。
请注意,这两个标签和描述应提供许可。用户在查看的权限列表(android:label)或单个权限( android:description)的细节时,这些内容被展现。标签应该简洁的介绍权限保护的关键功能。用几个简单的句子描述拥有该权限可以做什么。我们的惯例是用两个句子,第一句描述权限,第二句警告用户当授权该权限后会发生什么。
这里是一个CALL_PHONE权限的标签和描述的的例子:
<string name="permlab_callPhone">directly call phone numbers</string>
<string name="permdesc_callPhone">Allows the application to call
phone numbers without your intervention. Malicious applications may cause unexpected calls on your phone bill. Note that this does not allow the application to call emergency numbers.</string>
可以通过shell命令 adb shell pm list permissions来查看现在系统上的权限定义。特别地,-s选项可以用简单的表格形式来给用户呈现权限。
$ adb shell pm list permissions –s
All Permissions:
Network communication: view Wi-Fi state, create Bluetooth connections, full
Internet access, view network state
Your location: access extra location provider commands, fine (GPS) location,
mock location sources for testing, coarse (network-based) location
Services that cost you money: send SMS messages, directly call phone numbers
...
在AndroidManifest.xml中实施许可
用于限制进入系统或应用程序的组件的高级别许可可以在AndroidManifest.xml中实现。所有这些都可以通过在相应的组件中包含 android:permission 属性,命名该许可以使其被用以控制进入的权限。
Activity 许可(应用于<activity>标签)用于限制谁才可以启动相关的Activity。该权限在 Context.startActivity()和Activity.startActivityForResult()期间被检查;如果调用方不具有这个必需的权限,那么将会从此次调用中抛出SecurityException。
Service许可(应用于<service>标签)用于限制谁才可以启动或绑定该service。在Context.startService() , Context.stopService()和Context.bindService()调用的时候会进行权限检查。如果调用方没有所需的权限,则会抛出一个SecurityException。
BroadcastReceiver许可(应用于<receiver>标签)用于限制谁才可以向相关的接收器发送广播。权限检查会在Context.sendBroadcast() 返回时进行,由系统去发送已经提交的广播给相应的Receiver。最终,一个permission failure不会再返回给调用方一个异常;它只是不会去实现该Intent而已。同样地,Context.registerReceiver()也可以有自己permission用于限制谁才可以向一个在程序中注册的receiver发送广播。另一种方式是,一个permission也可以提供给
Context.sendBroadcast() 用以限制哪一个BroadcastReceiver才可以接收该广播。(见下文)
ContentProvider 许可(应用于<provider>标签)用于限制谁才可以访问ContentProvider提供的数据。(Content providers有一套额外的安全机制叫做URI permissions,这些在稍后讨论)不像其他组件,它有两个单独的权限属性,你可以设置:android:readPermission由于限制谁才能够读,android:writePermission用于限制谁才能够写。需要注意的是如果provider同时被读写许可,如果这时只有写许可并不意味着你就可以读取provider中的数据了。当你第一次检索内容提供者时,(假如你没有任何权限时,抛出SecurityException),和当你完成操作时权限被检查。使用ContentResolver.query()需要持有读许可;使用
ContentResolver.insert(),ContentResolver.update(),ContentResolver.delete() 需要写许可。在所有这些情况下,没有所需的权限将会导致抛出SecurityException。
发送广播时实施许可
除了之前说过的许可(用于限制谁才可以发送广播给相应的BroadcastReceiver),你还可以在发送广播的时候指定一个许可。在调用 Context.sendBroadcast()的时候使用一个permission string,你就可以要求接收器的宿主程序必须有相应的许可。
值得注意的是接收器和广播都可以要求许可。当这种情况发生时,这两种permission检查都需要通过后才会将相应的intent发送给相关的目的地。
其他权限实施
在调用service的过程中可以设置任意细化的许可。这是通过Context.checkCallingPermission()方法来完成的。调用的时候使用一个想得到的permission string,并且当该权限获批的时候可以返回给调用方一个Integer(没有获批也会返回一个Integer)。需要注意的是这种情况只能发生在来自另一个进程的调用,通常是一个service发布的IDL接口或者是其他方式提供给其他的进程。
Android提供了很多其他有效的方法用于检查许可。如果你有另一个进程的pid,你就可以通过Context.checkPermission(String, int, int)去针对那个pid去检查许可。如果你有另一个应用程序的包名,你可以直接用PackageManager的方法 PackageManager.checkPermission(String, String)来确定该包是否已经拥有了相应的权限。
URI许可
到目前为止我们讨论的标准的permission系统对于内容提供者(content provider)来说是不够的。一个内容提供者可能想保护它的读写权限,而同时与它对应的直属客户端也需要将特定的URI传递给其它应用程序,以便对该 URI进行操作。一个典型的例子是邮件应用程序的附件。访问邮件需要使用permission来保护,因为这些是敏感的用户数据。然而,如果有一个指向图片附件的URI需要传递给图片浏览器,那个图片浏览器是不会有访问附件的权利的,因为它不可能拥有所有的邮件的访问权限。
针对这个问题的解决方案就是per-URI permission:当启动一个activity或者给一个activity返回结果的时候,调用方可以设置 Intent.FLAG_GRANT_READ_URI_PERMISSION和/或 Intent.FLAG_GRANT_WRITE_URI_PERMISSION。这赋予接收活动(activity)访问该意图(Intent)指定的 URI的权限,而不论它是否有权限进入该意图对应的内容提供者。
这种机制允许一个通常的能力-风格(capability-style)模型,以用户交互(如打开一个附件, 从列表中选择一个联系人)来驱动细化的特别授权。这是一个很关键的能力,可以减少应用程序所需要的权限,只留下和程序行为直接相关的权限。
这些URI permission的获取需要内容提供者(包含那些URI)的配合。强烈推荐在内容提供者中实现这种能力,并通过android:grantUriPermissions或者<grant-uri-permissions>标签来声明支持。
更多的信息可以参考Context.grantUriPermission(), Context.revokeUriPermission()和Context.checkUriPermission()方法。
=============================================================================================
读后感:
这篇文章让我基本明白了linux权限和android权限的机制,由于没有阅读linux源代码,姑且先猜测一下android权限机制的实现,这种治学态度很容易被鄙视,没办法,先写下来,日后再把功课补上。
Linux操作系统上,所有设备都是文件,文件的属性有读、写和可执行(先忽略强制位与冒险位),每个用户一个UID,root用户是超级管理员。没有经过权限许可的话,各个普通用户之间是不能互相操作对方的文件的,这样一来,当root用户给文件设置权限时,就需要说明这个属性是给属主定义的,还是给一组用户定义的,还是给属主和组之外的用户定义的,所以,在chmod这个设置文件属性的命令中,我们可以看到”chmod 777 filename“这样奇怪的命令,我当时的第一感觉是灰常土鳖。但明白了其意义之后才知道,777三个位置,分别代表属主、组和其他用户,7这个数,本身又代表1+2+4,1代表可执行权限,2代表写权限,4代表读权限。所以这个命令是指将这个文件让所有用户拥有该文件的所有权限。
Android作为linux操作系统,其权限机制,其实是对linux权限机制的封装和扩展。由于linux的硬件就是文件,所以android上面的对于操作硬件和读写文件的能力,都可以归结为对文件的权限。为了让每个进程都拥有自己独立的权限,android让每个java程序都拥有一个java虚拟机,又让每个java虚拟机进程属于单独一个用户,这样,进程之间就独立了,一个不拥有root权限的进程,是不可能访问其他进程的文件和资源的。所有,大部分android提供的权限,其实都是使用文件权限来实现的。所以,在android的框架代码中,根本看不到权限的检查代码,我之前找到了activityManagerService和PackageManagerService,以为其中的checkPermission就是权限检查的代码,但跟踪之后才发现,那些只不过是对外提供的SDK接口,并不被使用在android程序执行时的权限检查。其实拍脑袋也能想到,android设计者不可能这么SB,会在每次执行api的时候都去检查权限。
除了这些以linux实现的权限之外,上文中也提到了android对权限机制的扩展,这些扩展,我认为主要就是如下:
l 当调用系统调用时,阻止应用程序执行特定的功能。
l 当启动一个Activity时,阻止应用程序启动其他应用程序的Activity。
l 在发送或接受广播时,控制谁可以接受你的广播或者谁可以向你发送广播。
l 谁可以访问或操作一个特定的内容提供者。
l 绑定或者启动一项服务。
这些扩展的权限,由于不基于linux来实现,所以他们的权限检查,是放在android框架代码中的,也就是上文所说的Context.startActivity(),Context.startService() , Context.stopService()、和Context.bindService()、Context.sendBroadcast()等等等。
LInux的权限检查,是怎么做的呢?读代码啊读代码,赶紧的。。。
分享到:
相关推荐
在提供的文档《Android的权限访问属性签.doc》和《AndroidBroadcastReceiver权限大全.doc》中,应该详细列出了Android权限系统中的各类权限以及使用方法,包括如何在代码中申请、检查和处理权限,以及...
一、Android权限系统概述 Android系统的权限管理基于Linux内核,因此它采用了类似Linux的权限模型。每个应用程序都有自己的用户ID(UID)和一组权限,这些权限决定了应用可以执行的操作。Android系统提供了两种类型...
在Android系统中,权限管理是应用安全的重要组成部分。自Android 6.0(API级别23)开始,谷歌引入了一种新的权限管理模式——运行时权限(Runtime Permissions)。这个变化对开发者来说是一个重大调整,因为在此之前...
本文将详细介绍Android权限列表中的部分常见权限,以及如何获取模拟器的电话号码代码。 #### 1. BROADCAST_PACKAGE_REMOVED - **定义**:此权限允许应用接收广播通知,当一个包被卸载时会触发这个事件。 - **权限...
1. **Android权限系统**:Android采用基于权限的访问控制模型,每个应用在安装时会请求用户授予所需的权限。对于串口通信,我们需要关注`android.permission.ACCESS_FINE_LOCATION`和`android.permission.ACCESS_...
本文将详细介绍如何在Qt for Android应用中实现动态权限申请。 首先,理解Android的权限模型。在Android 6.0及更高版本,有两类权限:正常权限和危险权限。正常权限对应用功能影响较小,系统会自动授予;而危险权限...
在Android系统中,运行权限是保护用户数据和设备安全的重要机制。从Android 6.0(API级别23)开始,引入了一项重大变化,即动态权限管理,这与之前的版本有很大不同。在Android 6.0之前,应用在安装时会一次性请求...
在Android系统中,权限管理是保护用户数据和设备安全的重要机制。从Android 6.0(API级别23)开始,...通过学习和实践这个示例,开发者可以更好地适应Android权限管理的新规范,为用户提供更安全、更透明的使用体验。
以下是Android权限设置大全的详细介绍: 位置信息权限 * android.permission.ACCESS_CHECKIN_PROPERTIES:访问登记属性,读取或写入登记check-in数据库属性表的权限。 * android.permission.ACCESS_COARSE_...
本知识文章将深入探讨“Android权限管理工具集”,特别是针对Android Studio开发环境的实现。 首先,Android Studio是Google官方推荐的Android应用开发IDE,它基于IntelliJ IDEA,提供了丰富的功能,如代码自动完成...
1. **运行时权限介绍**: - 在Android 6.0之前,应用在安装时会一次性获得所有在Manifest中声明的权限,用户无法在安装后对单个权限进行控制。 - Android 6.0引入了运行时权限,对于危险权限(如访问联系人、位置...
本Demo是针对这些权限管理的一个实例,展示了如何在Qt应用程序中实现对Android权限的正确处理。 首先,我们来详细了解一下Qt在Android上处理文件读写权限的过程。在Android系统中,读写文件权限分为内部存储和外部...
在Android系统中,运行时权限是一种安全机制,自Android 6.0(API级别23)引入,旨在增强用户对应用程序权限的控制。这个机制要求应用程序在运行时请求某些敏感的权限,而不是像以前那样在安装时一次性获取所有权限...
此项目“Android-Android权限申请运行时权限未知应用安装权限悬浮窗权限显示通知和访问通知权限”是针对Android权限申请的一个封装库——AndPermission,它简化了权限申请的流程,提供了链式调用接口,并且能够适应...
android无需权限的悬浮窗例子 android悬浮窗权限 android拖动视图 安卓悬浮窗 安卓悬浮球 android悬浮球 大部分人实现的悬浮窗都需要授权悬浮窗权限,否则无法使用,但本人开发这个悬浮窗无需权限,稳定美观,带滑动...
Android 权限检查EasyPermissions ,Android 6.0之前的系统用户在安装apk文件时会根据app声明的权限声称权限列表,用户只有在同意了申请的权限后才可以继续安装应用。这样就存在了很大的安全隐患。因此在android 6.0...
在Android系统中,从6.0(API级别23)开始,引入了一种新的权限管理系统,称为运行时权限。这个重大变化使得应用在运行时而不是安装时请求敏感权限,提升了用户对隐私的控制。本“android6.0权限管理封装demo”就是...
Android权限列表permission说明,希望可以帮助到大家
首先,我们要了解Android权限的基础。Android的权限分为正常权限和危险权限。正常权限不会直接影响用户的隐私,如读取网络状态;而危险权限涉及到用户隐私或可能损害设备,例如读取联系人或写入存储。在Android 6.0...