主APP为插件提供了一系列接口,我们需要考虑以下几个问题:
一、权限控制,检查调用者权限
如果接口都封装到service中,则可以在Manifest文件中对暴露的service增加signature的保护级别
使用Binder的静态方法getCallingPid或者getCallingUid来验证IPC调用者的身份,在获得调用者uid以后,可进一步使用PackageManager.getPackagesForUid(int uid)来获得调用者的包名,然后使用PackageManager.getPackageInfo(String Packagename, int flag)检查是否具有相应的权限(使用PackageManager.GET_PERMISSIONS flag)
在Service的OnBind方法中调用Context.checkCallingPermission(String permission)或者checkCallingPermissionOrSelf (String permission) 方法,验证IPC调用者是否拥有指定的权限,同样适用于Messenger;
使用Context.enforceCallingPermission(String permission, String message),如果调用者不具备权限,自动抛出SecurityException
二、接口异常的统一捕获,防御各种崩溃,并上报崩溃日志
三、接口有效性检查,典型的为防御NoSuchMethodError
现有的对接口的兼容性检查是采用api level的方式,插件中定义一个minLevel,主app中提供某个level的api,主app会根据两个level来选择具体加载哪个插件。与此类似的是Android SDK,每个APP都会提供minSdkVersion,如果在低版本手机上调用高版本系统api就会报找不到类或者函数,结果是崩溃。可以对这种情况进行防御,解决的办法就是对所有调用进行有效性检查,检查接口的实现类和函数是否存在,如果不存在就返回失败。