我最近正在阅读关于我们在android中的应用程序的自定义权限.
使用权限很明确.它包含您的应用程序为访问某些用户数据或设备功能等所需的权限,并且能够正常运行.
现在,我们来到许可元素.它声明了活动或服务可能需要其他应用程序保留的权限,以便使用应用程序的数据或逻辑
现在,假设我在我的应用程序的清单文件中使用权限标记,例如:
<permission androID:name="my.pkg.CUST_PER"/>这意味着我的申请可能有这种可能的许可.
并在我的Activity标记中使用它强制执行该权限,如下所示:
<activity androID:name=".MyApp" androID:permission="my.pkg.CUST_PER">现在,根据我的理解,只有请求我指定权限的应用程序才能访问我的应用程序的安全组件.
如果其他应用尝试在没有我自定义权限的情况下访问这些组件,会发生什么?我认为它应该崩溃,并将在logcat中看到:
SecurityException: Missing permission: my.pkg.CUST_PER如果是这样,那不是安全漏洞吗?
在这种情况下如何保护应用程序数据?
解决方法:
uses-permission is clear. It contains the permission that your application will need in order to access some of user data or device features, etc and to function properly.
<使用的许可>表示您的应用希望保留< uses-permission>中指定的权限元件.该权限所捍卫的是由其他开发人员决定的.在某些情况下,它可能会捍卫一些允许您“访问某些用户数据或设备功能”的内容.
This will imply that my application may have this possible permission.
不,不是的.它只是定义了一个新的权限.它并未声明您的应用或任何其他应用与该权限有任何其他关系.
Now, as per my understanding, only applications that have requested my indicated permission will be able to access my application’s secured components.
更准确地说,只有具有< uses-permission>的应用才能使用element可以有资格访问受保护的组件.此外,正如Orlowski先生所指出的那样,< permission>的protectionLevel.指示是否涉及用户接受(一个正常或危险的protectinolevel),如果应用程序需要使用与使用权限进行自我保护的应用程序相同的签名密钥(签名的保护级别),或者应用程序需要安装在/ system分区(系统的protectionLevel)上.
If other app trIEs to access those components without my custom permission, what will happen? I think it should crash, and will that be seen in logcat as: Requires this permission: my.pkg.CUST_PER
正确.
If so, isn’t that a security breach?
不是特别.
How to protect application data in such a circumstance?
不要将它暴露在外.拥有androID:permission的完整和完整点是因为您希望其他应用程序可以访问数据,具体取决于用户接受度,签名匹配等.如果您不希望其他应用程序访问数据,请不要导出组件.对于活动,服务和清单注册的接收器,这通常通过不具有< intent-filter>来实现.对于< provIDer>在元素中,您需要手动将androID:exported属性设置为false.
总结以上是内存溢出为你收集整理的android – 应用程序的自定义权限全部内容,希望文章能够帮你解决android – 应用程序的自定义权限所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)