macOS - Cocoa开发之沙盒机制及访问Sandbox之外的文件

原文地址:http://www.skyfox.org/cocoa-macos-sandbox.html

iOS默认并且只能读写对应的沙盒目录。

OSX自从10.6系统开始引入沙盒机制,规定发布到Mac AppStore的应用,必须遵守沙盒约定。沙盒对应用访问的系统资源,硬件外设,文件,网络,XPC,都做了严格的限制,这样能防止恶意的App通过系统漏洞,攻击系统,获取控制权限,保证了OSX系统的安全。沙盒相当于给每个App一个独立的空间。要获取自己空间之外的资源必须获得授权。

macOS APP不需要上架的时候,可以不开启Sandbox 功能,可以随意访问mac上的文件。

当未开启Sandbox功能上传到APPStore的时候提示:

iTunes Store operation failed.
App sandbox not enabled. The following executables must include the “com.apple.security.app-sandbox” entitlement with a Boolean value of true in the entitlements property list: [( “org.skyfox.ProfilesTool.pkg/Payload/ProfilesTool.app/Contents/MacOS/ProfilesTool” )] Refer to App Sandbox page at https://developer.apple.com/devcenter/mac/app-sandbox/ for more information on sandboxing your app.

#开启Sandbox

App Sandbox

在Xcode工程target设置Tab的Capabilities中选择 App Sandbox 为ON即可开启使用沙盒,Xcode自动生成.entitlements权限配置文件到工程。并且可以配置相应的权限,(网络,硬件,App Data,文件访问)

Network:网络访问控制

Incoming Connections(Server) :应用做为Server对外提供HTTP,FTP等服务时需要打开
Outgoing Connections(Client):做为客户端,访问服务器时需要打开

Hardware:硬件资源控, Printing为必须勾选。App的默认第一个顶级菜单中有打印功能的子菜单:

Camera
Micophone
USB
Printing

###App Data:获取系统的联系人,位置,日历服务时需要打开:
Contacts
Location
Calendar

File Access:文件和用户目录的访问控制,分为禁止none,只读,读写3类:

User Selected File:文档类应用或者需要用户选择打开某个文件时,需要选择合适的访问权限.
Downloads Folder
Pictures Folder
Music Folder
Movies Folder
如果应用中不需要的权限项,一律不要打开。否则App Review团队会拒绝你的应用上架

#entitlements权限配置信息存储
沙盒中每个需要访问权限的项都对应一个key,对应的value,YES 或 NO表示是否允许访问。选择配置了沙盒的访问控制信息后,Xcode会自动保存到一个扩展名为.entitlements的plist文件中

应用打包时会对这个文件进行签名, 应用运行期间要获取某个权限时,系统都会通过.entitlements去检查应用是否有授权,如果没有就拒绝访问。

#Sandbox之外的文件怎么访问?

那么问题就出现了,开启Sandbox 功能之后,NSHomeDirectory对应的文件夹形如:
/Users/yourName/Library/Containers/com.xxxx.appname/Data
程序数据文件的存储路径也不同,原来在
~/Library/Application Support/<app_name>/
如今在沙盒内:
~Library/Containers/<bundle_id>/Data/Library/Application/Support/<app_name>/
沙盒保证了程序只能访问沙盒container下的文件夹,这样就相对安全的保护了程序自身。
#访问沙盒外部文件

一、让用户人为选择目录

Capabilities中选择 App Sandbox ,在File Access中User Selected File项中选择Read/Write文件读写权限
沙盒有个默认的规则。在App运行期间通过NSOpenPanel用户手动打开的任意位置的文件,把这个这个路径保存下来,后面都是可以直接用这个路径继续访问获取文件内容的。
但是App重新启动后,这个文件路径就不能直接访问了。要想永久的获得应用的Container目录之外的文件,这里必须讲一下Security-Scoped Bookmark。

Security-scoped bookmarks:

使用bookmarks之前同样要在.entitlements文件中填写对应的key与value
Security-scoped bookmarks有2种:

1. An app-scoped bookmark

能为已沙盒程序提供对用户指定文件和文件夹的持久访问权。 例如,如果程序采用了一个程序容器外的下载或处理目标文件夹,通过 NSOpenpanel 对话框获得用户想使用该文件夹的初始访问权。
然后,为其创建一个 app-scoped bookmark,将它作为程序的配置储存(可能用属性列 表文件或 NSUserDefaults 类)。有了 app-scoped bookmark,程序就能获得对该文件夹的 未来访问权了。这种bookmark方式使用的比较多。

在.entitlements文件对应的key对应的权限key为com.apple.security.files.bookmarks.app-scope

2. A document-scoped bookmark

提供了对特定文档的持久访问权。可以理解为针对文档嵌套的一种权限模式。比如你开发一个能编辑ppt文档的应用,里面嵌入了视频文件,图片文件连接。那么下次打开这个ppt文档时就能直接访问这些文件而不需要在通过NSOpenPanel打开获得授权。

Document-scoped bookmark 只能指向文件而不是文件夹。并且这个文件必须不在系统使用的 位置上(如/private 或/Library)

在.entitlements文件对应的key对应的权限key为com.apple.security.files.bookmarks.document-scope

保存打开的文件URL的bookmark

获取到URL的bookmarkData存储到NSUserDefaults等位置
NSData *bookmarkData =[url bookmarkDataWithOptions:NSURLBookmarkCreationWithSecurityScope includingResourceValuesForKeys:nil relativeToURL:nil error:NULL];

应用启动时通过URL的bookmark获取文件授权

通过bookmark数据解析获取授权的NSURL,并且执行startAccessingSecurityScopedResource方法得到访问权限。

执行block回调完成相关内容读取后,执行stopAccessingSecurityScopedResource停止授权。

NSURL *allowedUrl = [NSURL URLByResolvingBookmarkData:bookmarkData options:NSURLBookmarkResolutionWithSecurityScope|NSURLBookmarkResolutionWithoutUI relativeToURL:nil bookmarkDataIsStale:&bookmarkDataIsStale error:NULL];
@try {
  [allowedUrl startAccessingSecurityScopedResource];
  block();
} @finally {
  [allowedUrl stopAccessingSecurityScopedResource];
}

二、文件访问临时例外

在开启沙盒功能的App中,App仅可以访问container中的数据,application groupcontainer,POSIX可读的公开位置、用户手动Open或Save dialog打开的位置 。如果您的应用程序需要永久访问到其他位置,你可以通过启用本人所述的临时例外entitlement权限键将额外的位置带入你的沙盒
为每个您想要启用访问的路径,将路径指定为相应的entitlement权限key值数组。每个字符串必须以斜杠 (/) 字符开头 — — 它代表绝对路径或相对于用户的主目录的路径。如果您提供的是一个目录路径,你必须以斜杠字符串结束。

home-relative-path
临时例外, 提供一个相对于user home目录的路径。相对于~

例如我指定“/Library/MobileDevice/Provisioning Profiles/”目录用来读取系统的profies文件。

当我设置home相对路径后,在程序中要手动拼接上home目录。

拼接home路径有两种方式:

一种是getpwuid方法

#include <unistd.h>
#include <sys/types.h>
#include <pwd.h>
#include <assert.h>

struct passwd *pw = getpwuid(getuid());
NSString *home =  [NSString stringWithUTF8String:pw->pw_dir];

一种是根据沙盒目录字符串截取

 NSString *home = NSHomeDirectory();
    NSArray *pathArray = [home componentsSeparatedByString:@"/"];
    NSString *absolutePath;
    if ([pathArray count] > 2) {
        absolutePath = [NSString stringWithFormat:@"/%@/%@", [pathArray objectAtIndex:1], [pathArray objectAtIndex:2]];
    }

absolute-path
临时例外, 提供一个绝对路径。相对于 /

Entitlement keyCapability
com.apple.security.temporary-exception.files.home-relative-path.read-only开启对于home指定子目录或者文件的只读权限
com.apple.security.temporary-exception.files.home-relative-path.read-write开启对于home指定子目录或者文件的读写权限
com.apple.security.temporary-exception.files.absolute-path.read-only开启对于 / 指定子目录或者文件的只读权限
com.apple.security.temporary-exception.files.absolute-path.read-write开启对于 / 指定子目录或者文件的读写权限
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eclipse-jee-2023-03-r-macosx-cocoa-x86_64.dmg 是一个针对 macOS 系统的 Eclipse JEE 版本的安装文件。Eclipse 是一款开源的、跨平台的集成开发环境,为软件开发者提供了丰富的工具和功能,特别是针对 JavaEE 开发。 这个安装文件的版本号是 2023-03-r,意味着它是在2023年3月发布的第一个有重要改进的版本。macOSx-cocoa-x86_64 则表示这个程序适用于 macOS 操作系统的 cocoa 架构和 x86_64 位的处理器。.dmg 是 macOS 系统上常用的磁盘映像文件的扩展名。 通过安装这个文件,你可以在你的 macOS 系统上使用 Eclipse JEE 版本进行 JavaEE 的开发工作。它提供了一系列的插件和工具,包括代码编辑器、调试器、自动补全、版本控制等,以支持 JavaEE 技术的开发。你可以轻松地创建、编译、运行和调试 JavaEE 项目,并且可以方便地导入和管理项目。 Eclipse JEE 版本还针对 JavaEE 开发提供了额外的功能和集成,比如支持服务器的管理和部署、Web 服务的开发和测试、数据源的管理等。你可以通过插件来进一步扩展它的功能,以满足你对开发环境的特殊需求。 总而言之,eclipse-jee-2023-03-r-macosx-cocoa-x86_64.dmg 是一款适用于 macOS 系统的 Eclipse JEE 开发环境的安装文件。安装后,你可以利用它进行 JavaEE 技术的开发,包括创建、编辑、运行和调试项目,并享受一系列丰富的功能和插件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值