WindowsNT和Linux的文件权限的区别

区分apk运行时的拥有的权限与在文件系统上被访问（读写执行）的权限两个概念。

apk程序是运行在虚拟机上的,对应的是Android独特的权限机制，只有体现到文件系统上时才使用linux的权限设置。

（一）linux文件系统上的权限

-rwxr-x--x system system 4156 2010-04-30 16:13 test.apk

代表的是相应的用户/用户组及其他人对此文件的访问权限，与此文件运行起来具有的权限完全不相关。

比如上面的例子只能说明system用户拥有对此文件的读写执行权限；system组的用户对此文件拥有读、执行权限；其他人对此文件只具有执行权限。

而test.apk运行起来后可以干哪些事情，跟这个就不相关了。

千万不要看apk文件系统上属于system/system用户及用户组，或者root/root用户及用户组，就认为apk具有system或root权限

（二）Android的权限规则

（1)Android中的apk必须签名

这种签名不是基于权威证书的，不会决定某个应用允不允许安装，而是一种自签名证书。

重要的是，android系统有的权限是基于签名的。比如：system等级的权限有专门对应的签名，签名不对，权限也就获取不到。

默认生成的APK文件是debug签名的。

获取system权限时用到的签名，见：如何使Android应用程序获取系统权限

（2）基于UserID的进程级别的安全机制

大家都知道，进程有独立的地址空间，进程与进程间默认是不能互相访问的，是一种很可靠的保护机制。

Android通过为每一个安装在设备上的包（apk）分配唯一的linux userID来实现，名称为"app_"加一个数字，比如app_43

不同的UserID，运行在不同的进程，所以apk之间默认便不能相互访问。

Android提供了如下的一种机制，可以使两个apk打破前面讲的这种壁垒。

在AndroidManifest.xml中利用sharedUserId属性给不同的package分配相同的userID，通过这样做，两个package可以被当做同一个程序，

系统会分配给两个程序相同的UserID。当然，基于安全考虑，两个package需要有相同的签名，否则没有验证也就没有意义了。

（这里补充一点:并不是说分配了同样的UserID，两程序就运行在同一进程, 下面为PS指令摘取的，

显然，system、app_2分别对应的两个进程的PID都不同，不知Android到底是怎样实现它的机制的）

User PID PPID

system 953 883 187340 55052 ffffffff afe0cbcc S system_server

app_2 1072 883 100264 19564 ffffffff afe0dcc4 S com.android.inputmethod.

system 1083 883 111808 23192 ffffffff afe0dcc4 S android.process.omsservi

app_2 1088 883 156464 45720 ffffffff afe0dcc4 S android.process.acore

（3）默认apk生成的数据对外是不可见的

实现方法是：Android会为程序存储的数据分配该程序的UserID。

借助于Linux严格的文件系统访问权限，便实现了apk之间不能相互访问似有数据的机制。

例：我的应用创建的一个文件，默认权限如下，可以看到只有UserID为app_21的程序才能读写该文件。

-rw------- app_21 app_21 87650 2000-01-01 09:48 test.txt

如何对外开放？

<1>使用MODE_WORLD_READABLE and/or MODE_WORLD_WRITEABLE 标记。

When creating a new file with getSharedPreferences(String, int), openFileOutput(String, int), or openOrCreateDatabase(String, int, SQLiteDatabase.CursorFactory), you can use the MODE_WORLD_READABLE and/or MODE_WORLD_WRITEABLE flags to allow any other package to read/write the file. When setting these flags, the file is still owned by your application, but its global read and/or write permissions have been set appropriately so any other application can see it.

（4）AndroidManifest.xml中的显式权限声明

Android默认应用是没有任何权限去 *** 作其他应用或系统相关特性的，应用在进行某些 *** 作时都需要显式地去申请相应的权限。

一般以下动作时都需要申请相应的权限：

A particular permission may be enforced at a number of places during your program's operation:

At the time of a call into the system, to prevent an application from executing certain functions.

When starting an activity, to prevent applications from launching activities of other applications.

Both sending and receiving broadcasts, to control who can receive your broadcast or who can send a broadcast to you.

When accessing and operating on a content provider.

Binding or starting a service.

1. shell判断文件,目录是否存在或者具有权限

2. #!/bin/sh

3.

4. myPath="/var/log/httpd/"

5. myFile="/var /log/httpd/access.log"

6.

7. # 这里的-x 参数判断$myPath是否存在并且是否具有可执行权限

8. if [ ! -x "$myPath"]then

9. mkdir "$myPath"

10. fi

11.

12. # 这里的-d 参数判断$myPath是否存在

13. if [ ! -d "$myPath"]then

14. mkdir "$myPath"

15. fi

16.

17. # 这里的-f参数判断$myFile是否存在

18. if [ ! -f "$myFile" ]then

19. touch "$myFile"

20. fi

21.

22. # 其他参数还有-n,-n是判断一个变量是否是否有值

23. if [ ! -n "$myVar" ]then

24. echo "$myVar is empty"

25. exit 0

26. fi

27.

28. # 两个变量判断是否相等

29. if [ "$var1" = "$var2" ]then

30. echo '$var1 eq $var2'

31. else

32. echo '$var1 not eq $var2'

33. fi

-f 和-e的区别

Conditional Logic on Files

-a file exists.

-b file exists and is a block special file.

-c file exists and is a character special file.

-d file exists and is a directory.

-e file exists (just the same as -a).

-f file exists and is a regular file.

-g file exists and has its setgid(2) bit set.

-G file exists and has the same group ID as this process.

-k file exists and has its sticky bit set.

-L file exists and is a symbolic link.

-n string length is not zero.

-o Named option is set on.

-O file exists and is owned by the user ID of this process.

-p file exists and is a first in, first out (FIFO) special file or

named pipe.

-r file exists and is readable by the current process.

-s file exists and has a size greater than zero.

-S file exists and is a socket.

-t file descriptor number fildes is open and associated with a

terminal device.

-u file exists and has its setuid(2) bit set.

-w file exists and is writable by the current process.

-x file exists and is executable by the current process.

-z string length is zero.

是用 -s 还是用 -f 这个区别是很大的！

---