android 组件安全,Android 组件安全

1、Activity、Service、BroadcastReceiver、ContentProvider是Android的四大组件，他们的安全性是非常重要的。四大组件的安全漏洞主要集中在是否可以被外部调用，外部调用是否存在风险。

四大组件是否可以被外部调用，决定因素是在AndroidManifest.xml里面定义的四大组件的标签export的布尔值。如下：

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog"

android:export="true">

export为true，表示PartActivity可以被外部调用。export如果为false，表示PartActivity不可以被外部调用。

我们注意到我们在定义四大组件时，经常是不写export这个标签的，那么系统默认的export是什么呢？

(1)、如果四大组件包含intent-filter，那么Android系统认为这个组件可以被外部通过隐式调用，所以默认export为true。

android:name=".MainActivity"

android:label="MainActivity" >

(2)、如果四大组件不包含intent-filter，那么Android系统认为这个组件值只可以被内部通过显式调用，所以默认export为false。

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog" >

2、为了增加四大组件的安全，可以定义访问某个组件需要某个权限。

android:name=".PartActivity"

android:theme="@android:style/Theme.Dialog" >

android:permission="com.example.test.permission"

android:protectionLevel="dangerous"

android:label="test"

android:description="test_permission" />    如果需要使用必须在AndroidManifest.xml，通过申请权限可以，另外也要注意protectionLevel，如果是Signature，那么只有和这个应用使用相同私钥签名的应用才可以申请这个权限。

3、Intent启动不同组件的方法如下：

组件名称方法名称

ActivitystartActivity()

startActivityForResult()

ServicestartService()

bindService()

BroadcastssendBroadcast()

sendOrderedBroadcast()

sendStickyBroadcast()

sendBroadcast，有一个方法，可以不用在AndroidManifest.xml里面声明，uses-permission；直接发送时附带权限，sendBroadcast(intent, receiverPermission)。动态注册的receiver可以在代码中指定需要访问它所需要的权限。

4、ContentProvider安全

android:name=".StudentContentProvider"

android:authorities="com.example.loadermanagerdemo.StudentContentProvider"

android:readPermission="com.example.testapps.readPermission"

android:writePermission="com.example.testapps.writePermission"

>

    需要读contentProvider时，要申请readPermission，需要写contentProvider时，需申请writePermission。

版权声明：本文为博主原创文章，未经博主允许不得转载。

原文：http://blog.csdn.net/jltxgcy/article/details/48312359