binder再探(3)

最新推荐文章于 2022-03-02 18:10:02 发布
最新推荐文章于 2022-03-02 18:10:02 发布
阅读量511 收藏
点赞数
分类专栏: android 文章标签: binder驱动 binder AMS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newhope1106/article/details/60334330
版权

再来看客户端通过 ActivityManagerNative.getDefault().startActivity启动一个Activity, ActivityManagerNative.getDefault()方法

static public IActivityManager getDefault() {
        return gDefault.get();
    }

private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {
        protected IActivityManager create() {
            IBinder b = ServiceManager.getService("activity");
            if (false) {
                Log.v("ActivityManager", "default service binder = " + b);
            }
            IActivityManager am = asInterface(b);
            if (false) {
                Log.v("ActivityManager", "default service = " + am);
            }
            return am;
        }
    };

我们看到ServiceManager.getService("activity"),而刚才AMS注册的时候,名称是"activity",和上面注册的流程一样,只是调用命令变成了GET_SERVICE_TRANSACTION,通过handle为0,初始化BpBinder(0),创建BinderProxy,成员变量指向BpBinder(0),调用geService方法,往下然后调用BinderProxy的transact方法,命令是GET_SERVICE_TRANSACTION,接着调用BpBinder的transact方法,最后调用到IPCThreadState::self()->transact方法,然后调用到ioctl,通过系统调用,陷入内核态,调用binder驱动的binder_ioctl,此时命令是BINDER_WRITE_READ,然后执行binder_thread_write,由于handle为0,获取到binder_ref引用,最后因此获取到Service Manager的全局binder_node节点,binder_context_mgr_node,然后构建binder_transaction节点插入到目标binder_proc即Service Manager的binder_proc的todo队列中,Service Manager将数据读出来,然后解析,执行下面代码 
int svcmgr_handler(struct binder_state *bs,
                   struct binder_transaction_data *txn,
                   struct binder_io *msg,
                   struct binder_io *reply)
{
    struct svcinfo *si;
    uint16_t *s;
    size_t len;
    uint32_t handle;
    uint32_t strict_policy;
    int allow_isolated;

    //ALOGI("target=%p code=%d pid=%d uid=%d\n",
    //      (void*) txn->target.ptr, txn->code, txn->sender_pid, txn->sender_euid);

    if (txn->target.ptr != BINDER_SERVICE_MANAGER)
        return -1;

    if (txn->code == PING_TRANSACTION)
        return 0;
   ...
    switch(txn->code) {
    case SVC_MGR_GET_SERVICE://这里获取服务
    case SVC_MGR_CHECK_SERVICE:
        s = bio_get_string16(msg, &len);
        if (s == NULL) {
            return -1;
        }
        handle = do_find_service(bs, s, len, txn->sender_euid, txn->sender_pid);//根据服务名获取服务的handle
        if (!handle)
            break;
        bio_put_ref(reply, handle);//将handle作为结果返回
        return 0;

    case SVC_MGR_ADD_SERVICE:
        .....
    }

    bio_put_uint32(reply, 0);
    return 0;
}
根据客户端传过来的服务名称,然后找到服务的handle返回, 
void bio_put_ref(struct binder_io *bio, uint32_t handle)
{
    struct flat_binder_object *obj;

    if (handle)
        obj = bio_alloc_obj(bio);
    else
        obj = bio_alloc(bio, sizeof(*obj));

    if (!obj)
        return;

    obj->flags = 0x7f | FLAT_BINDER_FLAG_ACCEPTS_FDS;
    obj->type = BINDER_TYPE_HANDLE;//类型
    obj->handle = handle;//将handle赋值给flat_binder_object的handle
    obj->cookie = 0;
}
刚才已经看到Service Manager通过binder_send_reply将结果发送回来 
void binder_send_reply(struct binder_state *bs,
                       struct binder_io *reply,
                       binder_uintptr_t buffer_to_free,
                       int status)
{
    struct {
        uint32_t cmd_free;
        binder_uintptr_t buffer;
        uint32_t cmd_reply;
        struct binder_transaction_data txn;
    } __attribute__((packed)) data;

    data.cmd_free = BC_FREE_BUFFER;
    data.buffer = buffer_to_free;
    data.cmd_reply = BC_REPLY;
    data.txn.target.ptr = 0;
    data.txn.cookie = 0;
    data.txn.code = 0;
    if (status) {
        data.txn.flags = TF_STATUS_CODE;
        data.txn.data_size = sizeof(int);
        data.txn.offsets_size = 0;
        data.txn.data.ptr.buffer = (uintptr_t)&status;
        data.txn.data.ptr.offsets = 0;
    } else {
        data.txn.flags = 0;
        data.txn.data_size = reply->data - reply->data0;
        data.txn.offsets_size = ((char*) reply->offs) - ((char*) reply->offs0);
        data.txn.data.ptr.buffer = (uintptr_t)reply->data0;
        data.txn.data.ptr.offsets = (uintptr_t)reply->offs0;
    }
    binder_write(bs, &data, sizeof(data));
}
int binder_write(struct binder_state *bs, void *data, size_t len)
{
    struct binder_write_read bwr;
    int res;

    bwr.write_size = len;
    bwr.write_consumed = 0;
    bwr.write_buffer = (uintptr_t) data;
    bwr.read_size = 0;
    bwr.read_consumed = 0;
    bwr.read_buffer = 0;
    res = ioctl(bs->fd, BINDER_WRITE_READ, &bwr);
    if (res < 0) {
        fprintf(stderr,"binder_write: ioctl failed (%s)\n",
                strerror(errno));
    }
    return res;
}
可以知道通过BINDER_WRITE_READ将数据写入写缓存中。又回到了binder驱动的BINDER_WRITE_READ,然后是binder_thread_write,接着是binder_transaction,然后通过这个handle从service manger对应的binder_proc获取binder_ref引用,然后通过引用获取到AMS的binder_node节点 
                case BINDER_TYPE_HANDLE:
		case BINDER_TYPE_WEAK_HANDLE: {
			struct binder_ref *ref = binder_get_ref(proc, fp->handle,
						fp->type == BINDER_TYPE_HANDLE);
			if (ref->node->proc == target_proc) {
				if (fp->type == BINDER_TYPE_HANDLE)
					fp->type = BINDER_TYPE_BINDER;
				else
					fp->type = BINDER_TYPE_WEAK_BINDER;
				fp->binder = ref->node->ptr;
				fp->cookie = ref->node->cookie;
				binder_inc_node(ref->node, fp->type == BINDER_TYPE_BINDER, 0, NULL);
				trace_binder_transaction_ref_to_node(t, ref);
				binder_debug(BINDER_DEBUG_TRANSACTION,
					     "        ref %d desc %d -> node %d u%016llx\n",
					     ref->debug_id, ref->desc, ref->node->debug_id,
					     (u64)ref->node->ptr);
			} else {//进程不是同一个,走这里
				struct binder_ref *new_ref;
				new_ref = binder_get_ref_for_node(target_proc, ref->node);//生成一个新的binder_ref指向ref->node即AMS的binder_node
				fp->binder = 0;
				fp->handle = new_ref->desc;//这里的handle是重新分配的最小handle和上面的fp->handle不一定相同
				fp->cookie = 0;
				binder_inc_ref(new_ref, fp->type == BINDER_TYPE_HANDLE, NULL);
			}
		} break;
然后创建binder_transaction节点加入到客户端的todo队列当中,作为返回值返回,我们在IPCThreadState::self()->transact中知道,需要有返回值时,会调用waitForResponse,此时的命令应该是BR_REPLY 
status_t IPCThreadState::waitForResponse(Parcel *reply, status_t *acquireResult)
{
    uint32_t cmd;
    int32_t err;

    while (1) {
        if ((err=talkWithDriver()) < NO_ERROR) break;
        err = mIn.errorCheck();
        if (err < NO_ERROR) break;
        if (mIn.dataAvail() == 0) continue;
        
        cmd = (uint32_t)mIn.readInt32();

        switch (cmd) {
        ...
        
        case BR_REPLY:
            {
                binder_transaction_data tr;
                err = mIn.read(&tr, sizeof(tr));//读取缓存中内容到binder_transaction_data结构体tr中
                if (err != NO_ERROR) goto finish;

                if (reply) {
                    if ((tr.flags & TF_STATUS_CODE) == 0) {
                        reply->ipcSetDataReference(
                            reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer),
                            tr.data_size,
                            reinterpret_cast<const binder_size_t*>(tr.data.ptr.offsets),
                            tr.offsets_size/sizeof(binder_size_t),
                            freeBuffer, this);//将结果保存到reply中,偏移数组用于保存了binder对象的位置
                    } else {
                        err = *reinterpret_cast<const status_t*>(tr.data.ptr.buffer);
                        freeBuffer(NULL,
                            reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer),
                            tr.data_size,
                            reinterpret_cast<const binder_size_t*>(tr.data.ptr.offsets),
                            tr.offsets_size/sizeof(binder_size_t), this);
                    }
                } else {
                    freeBuffer(NULL,
                        reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer),
                        tr.data_size,
                        reinterpret_cast<const binder_size_t*>(tr.data.ptr.offsets),
                        tr.offsets_size/sizeof(binder_size_t), this);
                    continue;
                }
            }
            goto finish;

        default:
            err = executeCommand(cmd);
            if (err != NO_ERROR) goto finish;
            break;
        }
    }
   ...
    return err;
}
上述代码的结果处理是在ServiceManagerProxy中 
    public IBinder getService(String name) throws RemoteException {
        Parcel data = Parcel.obtain();
        Parcel reply = Parcel.obtain();
        data.writeInterfaceToken(IServiceManager.descriptor);
        data.writeString(name);
        mRemote.transact(GET_SERVICE_TRANSACTION, data, reply, 0);
        IBinder binder = reply.readStrongBinder();
        reply.recycle();
        data.recycle();
        return binder;
    }

    private static final Singleton<IActivityManager> gDefault = new Singleton<IActivityManager>() {
        protected IActivityManager create() {
            IBinder b = ServiceManager.getService("activity");
            if (false) {
                Log.v("ActivityManager", "default service binder = " + b);
            }
            IActivityManager am = asInterface(b);
            if (false) {
                Log.v("ActivityManager", "default service = " + am);
            }
            return am;
        }
    };

   static public IActivityManager asInterface(IBinder obj) {
        if (obj == null) {
            return null;
        }
        IActivityManager in =
            (IActivityManager)obj.queryLocalInterface(descriptor);
        if (in != null) {
            return in;
        }

        return new ActivityManagerProxy(obj);
    }
因此我们获取到了AMS的代理,ActivityManagerProxy,于是可以向直接操作AMS一样调用代理。下面我们调用startActivity,发送部分和上面流程是一样的,不同的是我们不会发送的Service Manager,而是发送到了AMS所在的进程system_server,由于sertem_server也是由zygote fork创建的,和普通的进程走的流程有部分是相同的,也是会调用zygoteInitNative,前面binder初探中有提到,进程创建会开启线程,调用IPCThreadState::slef()->waitForResponse() 这里的命令不是BR_REPLY,而是BR_TRANSACTION 
status_t IPCThreadState::waitForResponse(Parcel *reply, status_t *acquireResult)
{
    uint32_t cmd;
    int32_t err;

    while (1) {
        
       ...
        
        cmd = (uint32_t)mIn.readInt32();
        
      
        switch (cmd) {
        .....

        default:
            err = executeCommand(cmd);
            if (err != NO_ERROR) goto finish;
            break;
        }
    }

...
}
因此执行executeCommand方法, 
status_t IPCThreadState::executeCommand(int32_t cmd)
{
    BBinder* obj;
    RefBase::weakref_type* refs;
    status_t result = NO_ERROR;
    
    switch ((uint32_t)cmd) {
    ...
    case BR_TRANSACTION:
        {
            binder_transaction_data tr;
            result = mIn.read(&tr, sizeof(tr));
            
            Parcel buffer;
            buffer.ipcSetDataReference(
                reinterpret_cast<const uint8_t*>(tr.data.ptr.buffer),
                tr.data_size,
                reinterpret_cast<const binder_size_t*>(tr.data.ptr.offsets),
                tr.offsets_size/sizeof(binder_size_t), freeBuffer, this);
            
            const pid_t origPid = mCallingPid;
            const uid_t origUid = mCallingUid;
            const int32_t origStrictModePolicy = mStrictModePolicy;
            const int32_t origTransactionBinderFlags = mLastTransactionBinderFlags;

            mCallingPid = tr.sender_pid;
            mCallingUid = tr.sender_euid;
            mLastTransactionBinderFlags = tr.flags;

            ....

            Parcel reply;
            status_t error;
            ..
            if (tr.target.ptr) {
                sp<BBinder> b((BBinder*)tr.cookie);//这里是实体binder的地址,AMS对象,生成BBinder子类JavaBBinder
                error = b->transact(tr.code, buffer, &reply, tr.flags);

            } else {
                error = the_context_object->transact(tr.code, buffer, &reply, tr.flags);
            }
            
            if ((tr.flags & TF_ONE_WAY) == 0) {
                LOG_ONEWAY("Sending reply to %d!", mCallingPid);
                if (error < NO_ERROR) reply.setError(error);
                sendReply(reply, 0);
            } else {
                LOG_ONEWAY("NOT sending reply to %d!", mCallingPid);
            }
            
            mCallingPid = origPid;
            mCallingUid = origUid;
            mStrictModePolicy = origStrictModePolicy;
            mLastTransactionBinderFlags = origTransactionBinderFlags;

            IF_LOG_TRANSACTIONS() {
                TextOutput::Bundle _b(alog);
                alog << "BC_REPLY thr " << (void*)pthread_self() << " / obj "
                    << tr.target.ptr << ": " << indent << reply << dedent << endl;
            }
            
        }
        break;
    
   .....
}
上面由于是在同一个进程中,返回的结果是Binder实体的binder_node地址,然后生成BBinder,调用其transact方法
BBinder在frameworks/native/libs/binder/Binder.cpp中 
status_t BBinder::transact(
    uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags)
{
    data.setDataPosition(0);

    status_t err = NO_ERROR;
    switch (code) {
        case PING_TRANSACTION:
            reply->writeInt32(pingBinder());
            break;
        default:
            err = onTransact(code, data, reply, flags);//走这里
            break;
    }

    if (reply != NULL) {
        reply->setDataPosition(0);
    }

    return err;
}
然后调用到 android_util_Binder.cpp 中JavaBBinder的onTransact 
    virtual status_t onTransact(
        uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags = 0)
    {
        JNIEnv* env = javavm_to_jnienv(mVM);

        IPCThreadState* thread_state = IPCThreadState::self();
        const int32_t strict_policy_before = thread_state->getStrictModePolicy();

       //这里调用Binder.execTransact方法
        jboolean res = env->CallBooleanMethod(mObject, gBinderOffsets.mExecTransact,
            code, reinterpret_cast<jlong>(&data), reinterpret_cast<jlong>(reply), flags);

        if (env->ExceptionCheck()) {
            jthrowable excep = env->ExceptionOccurred();
            report_exception(env, excep,
                "*** Uncaught remote exception!  "
                "(Exceptions are not yet supported across processes.)");
            res = JNI_FALSE;

            /* clean up JNI local ref -- we don't return to Java code */
            env->DeleteLocalRef(excep);
        }

        ...
    }
Binder.java的execTransact方法 
    private boolean execTransact(int code, long dataObj, long replyObj,
            int flags) {
        Parcel data = Parcel.obtain(dataObj);
        Parcel reply = Parcel.obtain(replyObj);
       ...
        try {
            res = onTransact(code, data, reply, flags);
        } ...
            

        return res;
    }
之后就调动到了ActivityManagerNative的onTransac方法 
public boolean onTransact(int code, Parcel data, Parcel reply, int flags)
            throws RemoteException {
        switch (code) {
        case START_ACTIVITY_TRANSACTION:
        {
            data.enforceInterface(IActivityManager.descriptor);
            IBinder b = data.readStrongBinder();
            IApplicationThread app = ApplicationThreadNative.asInterface(b);
            String callingPackage = data.readString();
            Intent intent = Intent.CREATOR.createFromParcel(data);
            String resolvedType = data.readString();
            IBinder resultTo = data.readStrongBinder();
            String resultWho = data.readString();
            int requestCode = data.readInt();
            int startFlags = data.readInt();
            ProfilerInfo profilerInfo = data.readInt() != 0
                    ? ProfilerInfo.CREATOR.createFromParcel(data) : null;
            Bundle options = data.readInt() != 0
                    ? Bundle.CREATOR.createFromParcel(data) : null;
            int result = startActivity(app, callingPackage, intent, resolvedType,
                    resultTo, resultWho, requestCode, startFlags, profilerInfo, options);//这里调用了AMS的startActivity方法
            reply.writeNoException();
            reply.writeInt(result);
            return true;
        }
      ...
     }
}
最终调用到了AMS的startActivity方法,以上就是整个Activity跨进程启动方式

newhope1106
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Activity启动详解
子者不语的专栏
06-06 4622
我们先从普通的应用内启动activity开始看起,也就是startActivity()这个方法,我们会发现这个函数最终会执行startActivityForResult()方法,传递的参数为intent和-1,所以我们直接看看这个函数 public void startActivityForResult(Intent intent, int requestCode, @Nullable Bu...
模拟binder通信的demo
04-01
模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo模拟binder通信的demo...
Activity启动流程调用链总结
qq_25564621的博客
06-04 385
act启动流程:第一部分:开始请求执行启动ActivityMyActivity.startActivity() Activity.startActivity() Activity.startActivityForResult()Instrumentation.execStartActivty()ActivityManagerNative.getDefault().startActivity() ...
Android的Activity启动流程分析
热门推荐
grandself的博客
06-10 4万+
-------------------------------------------------------------------------------------------------------------------------------------------------------------------...
Android Launcher 启动 Activity 的工作过程
凶残的程序员
10-03 4万+
前言通过上一篇文章(Binder之应用层总结与分析)可以了解到进程间通讯的一个大致情况,像今天要提到的Activity启动过程,也是以Binder为通讯方式。系统对这个工作过程做了很多封装,使得启动一个Activity变得十分简单。这看似简单的背后,实际上是ActivityActivityManagerService之间多次通讯的结果。 阅读该篇文章建议配合源码一起食用,味道更佳。Launche
小结Binder驱动
我叫王菜鸟
03-09 403
第一章,我们大致看了一下Binder跨进程传输数据中所需要的结构体。 第二章节和第三章,大致看了一下Binder驱动层所需要的函数。 现在我们就先来小结一下前几章的内容,然后深入的理解驱动层重要的函数,进而为彻底了解驱动层打下基础。 前面的内容那些要用到的结构体我们就不说了,我们我们谈一谈那些核心方法的顺序,和重中之重方法。启动顺序
AndroidBinder
02-23
Binder是什么?Binder是一种进程间通信机制为什么是BinderBinder通信机制采用C/S架构,这很重要!!!@Binder架构|centerBinder框架中主要涉及到4个角色Client、Server、ServiceManagerBinder驱动,其中Client、...
c代码使用binder
04-12
在Android系统中,Binder是实现进程间通信(IPC,Inter-Process Communication)的关键组件,它为应用程序和服务提供了安全、高效的数据传输方式。本教程将详细讲解如何在C代码中使用Binder,并实现多线程支持。 一...
binder通讯 c++源码
最新发布
04-16
3. **ServiceManager**:作为Binder通信的目录服务,它维护了一个服务注册表,客户端可以通过ServiceManager查找并获取服务端的IBinder对象。 4. **Parcel**: Binder通信的数据载体,用于序列化和反序列化数据。在...
binder.zip
11-04
1、Android Binder 进程通信应用实例 2、Android 基于linux内核开发,linux内核提供丰富的进程通信机制,如pipe、signal、message、share memory、socket,但android采用新的进程间通信机制binder。相比之下binder...
Activity 启动过程
任雪龙的博客
07-03 306
Activity 启动过程启动应用进程启动,调用 ContextImpl 的 startActivity(); 最终调用的 startActivityForResult(); 方法startActivityForResult 中调用 Instrumentation 的 execStartActivity();execStartActivity 中调用 ActivityManagerNative.ge
startActivity()详解
博客
08-02 4万+
startActivity()详解 class ReceiverRestrictedContext extends ContextWrapper { ReceiverRestrictedContext(Context base) { super(base); } } final Context getReceiverRestrictedContext...
android 重载activity,Android Activity启动流程分析
weixin_42515336的博客
05-28 320
概述Activity作为Android的四大组件之一,Android主要的界面组成部分,用于直接跟用户进行交互操作,在面试中与Activity相关的知识也是经常被问到,如果你面试的高级岗位,那么对Activity的启动和绘制流程就必须的熟悉,本文将从Activity的启动流程来分析Activity。启动Activity的方式大致有两种:一种是在桌面点击应用程序的图标,进入应用程序的主界面;另一种是...
Framework学习(五)应用程序启动过程
Watson的博客
10-02 3522
在Android系统中,启动四大组件中的任何一个都可以启动应用程序。但绝大部分时候我们是通过点击Launcher图标来启动应用程序。本文依据Android7.0源码,从点击Launcher图标开始,分析应用程序的启动过程,其实就是分析根Activity的启动过程。Launcher请求AMS在Framework学习(四)Launcher启动过程 这篇文章我讲过Launcher启动后会将已安装应用程序的
安卓startActivity:彻底理解startActivity的启动过程这一篇就够了
不忘初心
11-16 2万+
基于Android 6.0的源码剖析, 分析android Activity启动流程,相关源码: frameworks/base/services/core/java/com/android/server/am/ - ActivityManagerService.java - ActivityStackSupervisor.java - ActivityStack.java ...
ActivityManagerNative 反射
Aaronzzq的专栏
07-15 4323
由于想在程序里面更改系统的语言设置,查看了Settings中的源码后发现时这样实现的:  Java代码   IActivityManager am = ActivityManagerNative.getDefault();              Configuration config = am.getConfiguration();               
adb remount 报错:Binder ioctl to enable oneway spam detection failed: Invalid argument
03-02 1万+
问题 执行 adb remount 时提示 failed $ adb root restarting adbd as root $ adb remountBinder ioctl to enable oneway spam detection failed: Invalid argument remount succeeded 分析 AOSP S 中ProcessState.cpp包含该报错信息,可以查看以下两个文件: /system/libhwbinder/ProcessState..
Android服务查询完整过程源码分析
架构设计
07-04 117
Android服务注册完整过程源码分析中从上到下详细分析了Android系统的服务注册过程,本文同样针对AudioService服务来介绍Android服务的查询过程。 客户端进程数据发送过程 private static IAudioService getService() { if (sService != null) { return sService; } IBinder b...
通过MediaPlayer理解Binder的使用
编程菜鸟---正在努力进阶
07-07 4129
理解Binder的使用是一件不容易的事,尤其由浅入深,本文参考Android深入浅出之Binder机制和Android Binder设计与实现这两文章为基础,从Java层的MediaPlayer开始分析Client, Server 和ServiceManager!至于Binder的实现可以搜索CSDN老罗的文章,涉及到kernel这里不讨论,本文只作为分析android代码记忆用   首先,先
Android Binder机制深度解析
3. ProcessState与IPCThreadState - ProcessState类提供了与Binder驱动交互的接口。`ProcessState::self()`方法用于打开/dev/binder设备,无论是服务器还是客户端都需要调用。`ProcessState::startThreadPool()`则由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值