Android 应用安全最佳实践

最新推荐文章于 2022-06-30 14:53:51 发布
最新推荐文章于 2022-06-30 14:53:51 发布
阅读量808 收藏
点赞数
分类专栏: android
和你一起终身学习,这里是程序员Android
本文链接:https://blog.csdn.net/wjky2014/article/details/93067670
版权

 

极力推荐文章:欢迎收藏
Android 干货分享 

 

本篇文章主要介绍 Android 开发中的部分知识点,通过阅读本篇文章,您将收获以下内容:

一、加强APP 安全沟通

  1. 建议显示使用应用选择器
  2. 应用共享数据时,建议使用 签名权限
  3. 禁止其他应用访问自己的ContentProvider
  4. 获取敏感信息,需要提前询问凭据
  5. 提高应用网络安全措施
  6. 创建自己的信任管理器
  7. 谨慎使用 WebView 对象
  8. 使用HTML消息通道

二、提供正确的权限permission

  1. 使用Intent 进行权限申请
  2. 跨应用 安全访问数据

三、安全的进行数据存储

  1. 将私有数据存储在内部存储中
  2. 谨慎使用外部存储
  3. 检查数据的有效性
  4. 仅将非敏感数据存储在缓存文件中
  5. 请在私有模式SharedPreferences

四、使用安全的三方服务

  1. 使用 Google Play服务
  2. 更新所有应用依赖项

通过提高应用程序的安全性,您可以帮助保持用户信任和设备完整性。

此文主要介绍了几种对您的应用安全性产生重大积极影响的最佳做法。

一、加强APP 安全沟通

当您保护在应用程序与其他应用程序之间或应用程序与网站之间交换的数据时,可以提高应用程序的稳定性并保护您发送和接收的数据。

1. 建议显示使用应用选择器

如果隐式意图可以在用户的​​设备上启动至少两个可能的应用程序,请明确显示应用程序选择器。此交互策略允许用户将敏感信息传输到他们信任的应用程序。
举例如下:

Intent intent = new Intent(Intent.ACTION_SEND);
List<ResolveInfo> possibleActivitiesList =
        queryIntentActivities(intent, PackageManager.MATCH_ALL);

// Verify that an activity in at least two apps on the user's device
// can handle the intent. Otherwise, start the intent only if an app
// on the user's device can handle the intent.
if (possibleActivitiesList.size() > 1) {

    // Create intent to show chooser.
    // Title is something similar to "Share this photo with".

    String title = getResources().getString(R.string.chooser_title);
    Intent chooser = Intent.createChooser(intent, title);
    startActivity(chooser);
} else if (intent.resolveActivity(getPackageManager()) != null) {
    startActivity(intent);
}

2. 应用共享数据时,建议使用 签名权限

在您控制或拥有的两个应用程序之间共享数据时,请使用 基于签名的权限。这些权限不需要用户确认,而是检查访问数据的应用程序是否使用相同的签名密钥进行签名。因此,这些权限提供了更简化,安全的用户体验。
举例如下:

<manifest xmlns:android = “http://schemas.android.com/apk/res/android” 
    package = “com.example.myapp” >
    <permission android:name = “my_custom_permission_name” android:protectionLevel = “signature” />

3. 禁止其他应用访问自己的ContentProvider

除非您打算将数据从应用程序发送到您不拥有的其他应用程序,否则您应明确禁止其他开发人员的应用程序访问ContentProvider您的应用程序包含的对象。如果您的应用可以安装在运行Android 4.1.1(API级别16)或更低级别的设备上,则此设置尤其重要,因为 默认情况下,这些Android版本android:exported<provider>元素属性true

举例如下:

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
    package="com.example.myapp">
    <application ... >
        <provider
            android:name="android.support.v4.content.FileProvider"
            android:authorities="com.example.myapp.fileprovider"
            ...
            android:exported="false">
            <!-- Place child elements of <provider> here. -->
        </provider>
        ...
    </application>
</manifest>

4.获取敏感信息,需要提前询问凭据

在向用户请求凭据以便他们可以访问应用中的敏感信息或高级内容时,请询问PIN/Password/Pattern或 生物识别凭证,例如指纹,人脸识别、虹膜等。

本节重点介绍推荐的生物识别登录方法。

所述生物识别库 指纹等显示系统提示,要求用户登录使用的生物统计凭证。对话框外观的最终一致性创建了更可靠的用户体验。图1中显示了一个示例对话框。

注意:生物识别库扩展了其功能 

最低0.47元/天 解锁文章
程序员Android
关注
专栏目录
Android App安全威胁分析及最佳实践
balance的博客
05-09 1086
导航前言常见安全威胁攻击面分类一、导出组件最佳实践二、文件读写最佳实践三、logcat日志最佳实践四、与其他APP交互最佳实践五、网络交互最佳实践六、UGC内容最佳实践七、服务端API最佳实践八、运行环境最佳实践安全技术参考 前言 我们的生活已经离不开App,且App承载了我们的金钱、私人信息、家庭视频监控、电子门锁、智能车钥匙等太多东西。 作为App的运营者必须将App安全性放在重要位置,否则因为安全漏洞导致用户信息泄露,不仅会造成用户流失、品牌受损,还会面临监管部门的巨额处罚。 App安全的重要性不言而
android 服务最佳实践,Android最佳实践(一)
weixin_30811007的博客
05-25 141
这是一个系列,我们将其命名为android最佳实践,如果你还没有看之前的文章:Android最佳实践感谢@xixicat给的灵感,希望这次专题能认真的走下去,其他翻译CodePath Android会同步进行。该专题的目的:学习Android studio的特性和技巧,学习Gradle的黑魔法,学习Android的最热框架,学习Android5.0以上的新特性。该专题的行文顺序:从Android ...
Android安全实践
gongxiaoou的博客
02-27 3321
一.概况 之前在app中并未涉及支付,敏感信息等相关功能的模块,所以对于安全这块的话并没有进行十分严格的控制。但是随着检查的一步步变的严格,各种检验报告接踵而至,“不安全”你们的app,马上改,不改立马下架(公司为某央企媒体类,检查委托机构是公安部,被委托检查机构好几个出了好几份报告)。 所以总结一下,为以后开发或者设计产品时候提供安全规范。 二.安全问题分类 下面涉及的安全问题均来自...
Fiddler 抓包
司马懿的西山居
03-22 1814
抓包目的 线上的产品出现BUG无法通过代码注入或者获取日志的方式定位问题,或者要抓取第三方应用程序的接口。这时候就需要用到抓包了,它通过一种网络层的方式来获取所有的网络请求。 抓包原理 目前 Windows 上主流的抓包软件有两类 监听网卡(Wireshark) 监听端口(Fiddler) Wireshark Wireshark 通过 libpcap/WinPcap 从底层抓取网络数据包,并通...
Android 7.0 https 抓包实现
天行健-君子以自强不息
09-29 2410
说到抓包,这就是涉及到调试和安全问题,对于 Android 7.0 (API 24 )以下,你可以直接使用 Charles 安装相关证书配置好代理后直接实现。但是在 Android 7.0 之后,Google 推出更加严格的安全机制。 至于具体怎么配置,Google 官方给出超级全面解释,官方连接。 1. 在你自己的app下,xml目录下新建一个文件:res/xml/network_secur...
android应用性能优化最佳实践读书笔记
11-30
"Android应用性能优化最佳实践"这本书深入探讨了如何提升Android应用的性能,以下是一些核心知识点的总结: 1. **内存管理**:内存泄漏是Android应用性能问题的常见来源。开发者需要学会使用内存分析工具,如MAT ...
Android最佳实践 - (安全技术资料共1份).zip
02-05
本资料包——"「Android最佳实践 - (安全技术资料共1份).zip"——聚焦于Android应用安全实践,特别是通过结合IT业务流程管理(ITBPM)和信息资产威胁框架(IATF)来构建信息安全体系。核心文件"基于ITBPM和...
深入Android应用开发:核心技术解析与最佳实践
10-15
深入Android应用开发:核心技术解析与最佳实践
Android夜间模式最佳实践
01-20
目前越来越多的应用开始把夜间模式加到自家应用中,没准不久google也会把这项功能添加到Android系统中吧。 业内关于夜间模式的实现,有两种主流方案,各有其利弊,我较为推崇第三种方案: 1、通过切换theme来实现...
移动端系统生物认证技术详解
恋猫de小郭的博客
03-29 6268
相信大家对于生物认证应该不会陌生,使用指纹登陆或者 FaceId 支付等的需求场景如今已经很普遍,所以基本上只要涉及移动端开发,不管是 Android 、iOS 或者是 RN 、Flutter 都多多少少会接触到这一业务场景。 当然,不同之处可能在于大家对于平台能力或者接口能力的熟悉程度,所以本篇主要介绍 Android 和 iOS 上使用系统的生物认证需要注意什么,具体流程是什么,给需要或者即将需要的大家出一份汇总的资料。 ⚠️注意:本篇更倾向于调研资料的角度,适合需要接入或者在接入过程中出现疑问的方
Biometric:最简单的方法是在AndroidX上使用新版本的Biometric:locked:
03-08
生物识别 最简单的方法是在下使用新版本的 。 您可以轻松知道该设备是否允许您使用生物特征识别以及使用哪种类型(面部,手指,虹膜,多重...)。 如果您想在上实现它,该库还提供了一个实现。 用法 要使用这个有用的库,您可以通过Gradle获取它: implementation ' com.mikhaellopez:biometric:1.0.2 ' 科特琳 val biometricHelper = BiometricHelper (fragment) // BiometricType = FACE, FINGERPRINT, IRIS, MULTIPLE or NONE val biometricType : BiometricType = biometricHelper.getBiometricType() // Check if biometric is availabl
Android 指纹验证
kongqw
06-30 1718
本篇记录一下在Android上做指纹校验的过程。在某些敏感场景,可以通过指纹验证操作者是否是设备主人。本篇使用的下的来实现的,已经被官方标记过时,就不过多描述了。 检查是否支持指纹验证 进行验证 核心类,通过方法启动验证。 进行验证 上面伪代码中的第一个参数,为Activity或Fragment,第二个参数为识别验证的回调,代码如下: onAuthenticationError:指纹识别异常回调,包含几个常用错误码,详见: onAuthenticationSucceeded:指纹识别通过回调 o
Android安卓进阶之——一文带你了解抓包和反抓包
B1ueSocks的博客
03-18 1696
今天主要通过一篇文章跟大家介绍一下Android的抓包和防止抓包。
Android 7(N)网络安全配置
Weven-blog
07-18 5774
Android N 包含一个网络安全配置特性,让应用可以在一个安全的声明性配置文件中自定义其网络安全设置,而无需修改应用代码。 可以针对特定域和特定应用配置这些设置。 该特性的主要功能如下所示: 自定义信任锚:针对应用安全连接自定义哪些证书颁发机构 (CA) 值得信赖。 例如,信任特定的自签署证书或限制应用信任的公共 CA 集。 仅调试重写:在应用中以安全方式调试安全连接,而不会增加安装基数的风险。 Cleartext traffic 选择退出:防止应用意外使用 cleartext traffic。 证
Charles抓包工具破解和https抓包问题解决:中文乱码,Android抓包https乱码
afterward__的专栏
03-23 4291
总结下。还是看官方的吧。
使用Chrome开发者工具overrides实现不同环境本地调试
热门推荐
weixin_43834227的博客
10-19 1万+
使用Chrome开发者工具overrides,来实现不同环境本地调试。例如某个问题只在生产环境出现,本地复现不了,这时候就可以使用overrides来生成一份生产环境的本地副本,在本地使用生产环境、本地副本进行调试,快速排查问题原因,解决问题。
MessageChannel API
你的博客
07-24 1882
  MessageChannel接口允许我们创建一个新的消息通道,并通过它的两个MessagePort 属性发送数据,返回的两个属性为只读属性 MessageChannel API在Web Worker中同样可以使用 使用: let channel = new MessageChannel(); channel.port1; //只读 channel.port2; //只读 返回两...
js之MessageChannel示例
开心就好的专栏
07-01 2166
function random(min, max) { return min + Math.floor((max - min + 1) * Math.random()); } var CalculatorChannel = new MessageChannel(); var calculator = CalculatorChannel.port1; var numGenerator = ...
android 接受h5信息,javascript,android_webView中页面无法接受到postMessage发出的消息,javascript,android,html5,postmessa...
weixin_36185435的博客
05-27 1506
webView中页面无法接受到postMessage发出的消息有两个页面:a.html b.html,在a中利用postMessage方法向b发送消息,并设置消息监听事件,代码如下:$('input[type="button"]').on('click',function () {var mapWindow = window.open('d.html?s=' + $('input[type="te...
Android应用界面设计指南与最佳实践
"Android应用界面设计方法" Android应用界面设计是一个复杂而细致的过程,尤其是在与iOS的设计规范相比较时,Android的界面设计显得更加多样化且缺乏统一。尽管Android的开放性鼓励创新,但这也可能导致界面风格的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员Android

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值