《The Custom Permission Problem》部分译文

最新推荐文章于 2020-10-15 15:41:01 发布
最新推荐文章于 2020-10-15 15:41:01 发布
阅读量738 收藏
点赞数
分类专栏: androiddevweekly
自定义用户权限问题


从一开始Android便提供了系统权限(由原生框架定义)和用户自定义权限(由应用定义).


不幸的是,自定义权限有一些“无证的局限性”使得它们存在内在的风险.特别地,自定义权限可能被任何人,任何时间,被定义,而且“先定义的权限为王”(原文:“first one in wins”),这些可能引发一些意外的行为.


在这里,我们将介绍一些场景并展示一些可能存在风险的问题,附带我们最好能做些什么来缓解这些问题.


情境


下面所有的场景都集中在3个主要的应用工程文件.


应用A定义了一个自定义的权限在他的manifest文件中,如:


<permission
    android:name="com.commonsware.cwac.security.demo.OMG"
    android:description="@string/perm_desc"
    android:label="@string/perm_label"
    android:protectionLevel="normal"/>


应用A也使用了“android:permission”属性并引用了这个权限来保护了一个组件:


<provider
    android:name="FileProvider"
    android:authorities="com.commonsware.cwac.security.demo.files"
    android:exported="true"
    android:grantUriPermissions="false"
    android:permission="com.commonsware.cwac.security.demo.OMG">
    <grant-uri-permission android:path="/test.pdf"/>
</provider>


应用B申明了一个这个权限,以此来获取被这个权限保护的组件使用权:
<uses-permission android:name="com.commonsware.cwac.security.demo.OMG"/>


应用C同样的申明了这个权限.区别在于应用B也有定义<permission>元素,正如应用A所做的,只不过有不同的描述信息(如:android:descriptioin)、不同的保护级别.


以上三个应用都是使用不同的签名key来生成APK的,因为现实时间里它们是来自于不同的开发者.


好,扼要重述一下:


应用A定义了一个permission并使用它来保护一个组件.


应用B定义了同样的一个权限并请求获取到它.


应用C仅仅获取了这个权限.


把这些都放到脑海之中,让我们走入一些可能的场景,同时集中思考下面两个问题:


1、当应用通过正常的方式(如:不是用命令“adb”)安装时,关于这个权限,用户能被告知什么?


2、若是存在应用A或B不得不通过应用A的“ContentProvider”获取数据的情况,又会怎样?


原文地址:https://github.com/commonsguy/cwac-security/blob/master/PERMS.md

浮游者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
permission.js
04-14
Vue的权限管理Premission,单个文件,里面详细介绍了该页面的路由跳转,以及Token指令退出,登出,配置白名单等相应操作,逻辑简单。可以下载浏览
electron install error (permission problem)electron安装无法安装,权限问题解决!
qq_42376239的博客
06-27 1645
electron install error:"permission denied, mkdir '/Users/admin/Documents/xxxtestxxx/node_modules/electron/dist"解决方法: 如图安装electron报错信息。 解决方法: 解决方法: sudo npm install electron --unsafe-perm=true --allow...
PermissionError解决方案汇总
热门推荐
XerCis的博客
10-15 1万+
汇总各种PermissionError的解决方案
permission denied problem in ubuntu
weixin_30336061的博客
12-16 57
Install problem in Ubuntu problem in make install install: cannot create regular file `/usr/local/bin/programname': Permission denied use sudo make install 转载于:https://www.cnblogs.com/greencolor...
open62541 (R 1.1.2)中文文档 (译文)第四篇 (11 - 13)
じоνё靁〃N维空间
09-25 1185
open62541(R 1.1.2) 文档 注:原文PDF文档 是从官网下载的 Linux64bit的发布版本中自带的文档,原PDF中的源代码用PDF浏览器查看,有残缺。需要结合源文件中的示例代码进行相应的修改。或参考其它版本的文档。原文代码中的注释并没有译文,这个在使用时再补充进去。 目录11 通用定义11.1 Attribute Id11.2 Access Level Masks11.3 Write Masks11.4 ValueRanks11.5 Rule Handling11.6 Order11..
permission.pl
08-12
permission.pl
Permission
08-30
Android 6.0 权限 申请
详解Nginx 13: Permission denied 解决方案
09-30
主要介绍了详解Nginx 13: Permission denied 解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
04-29
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
256ssm-mysql-jsp 在线捐赠系统.zip(可运行源码+数据库文件+文档)
04-29
根据需求,确定系统采用JSP技术,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了系统用户管理、注册用户管理、信息发布管理、医疗物品分类管理、项目信息管理、捐赠项目管理、志愿者申请管理、个人求助管理、个人捐赠统计、系统管理等功能。 前台用户模块包括: 1. 首页:网站打开的第一个页面,显示网站的最新信息。 2. 用户注册/登录、3. 新闻资讯、4. 暖心故事、5. 我要求助、6. 我要捐赠、7. 我们的项目、8. 志愿者中心:实现志愿者中心的列表显示、9. 系统简介、10. 在线留言、11. 用户后台 后台管理员模块包括: 1. 系统用户管理、2. 注册用户管理、3. 信息发布管理、4. 医疗物品分类管理、5. 项目信息管理、6. 捐赠项目管理、7. 志愿者申请管理、8. 个人求助管理:管理员可以设置个人求助审核状态,可以删除个人求助审核信息。 9. 个人捐赠统计:管理员可以查看个人捐赠统计信息。 10. 系统管理:管理员可以对留言板信息进行查看、回复或删除 关键词:医药捐赠系统;JSP;MySQL
how to solve the problem Forbidden You don't have permission to access this resource.
04-24
The "Forbidden You don't have permission to access this resource" error message typically means that your request was understood by the server, but the server is refusing to fulfill it. There are a few potential causes for this error, including incorrect file permissions on the server, a misconfigured .htaccess file, or IP blocking by the server administrator. To solve this problem, you can try a few troubleshooting steps. First, double-check that the URL you're requesting is spelled correctly and that it's pointing to the intended resource. If that checks out, try clearing your cache and cookies, or using a different browser to access the resource. If you're still encountering the error, contact the server administrator or your web host to resolve the issue. They may need to adjust permissions or whitelist your IP address to allow access to the resource.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值