Android 6.0起,Android加強了權限管理,引入運行時權限概念。對於:
1. Android 5.1(API 22)及以前版本,應用權限必須聲明在AndroidManifest.xml中,應用在安裝時,Android會列出其所需的所有權限供用戶確認安裝。
2. Android 6.0(API 23)及以后版本,應用權限必須聲明在AndroidManifest.xml中,但權限分為普通權限(Normal Permissions)和危險權限(Dangerous Permissions),以下會介紹區別:
普通權限:不會給用戶隱私帶來風險
應用聲明在AndroidManifest.xml,系統會自動授予,無需應用申請。
危險權限:應用訪問用戶機密數據的權限,會有風險
1. 此權限也必須聲明在AndroidManifest.xml中
2. 此類權限屬於運行時權限,應用在啟動后,需執行相關需此類權限的操作前,需調用系統API彈窗讓用戶授權,彈窗內容應用不可修改。如果缺少運行時權限(用戶未授權),那么應用強行執行操作或調用API會引起APP FC。如下:
3-10 04:47:44.274 10405 8714 8714 E AndroidRuntime: java.lang.RuntimeException: Unable to create service xxxxxx.SmsBackgroundService: java.lang.SecurityException: Permission Denial: opening provider com.android.providers.telephony.MmsSmsProvider from ProcessRecord{48bbdaa 8714:xxxxxx/u0a405} (pid=8714, uid=10405) requires android.permission.READ_SMS or android.permission.WRITE_SMS
運行時權限的三種狀態:允許,詢問(USER_SET),拒絕(USER_FIXED)。用戶可以在系統的權限管理中管理應用的每一項權限的狀態。
那么,應用該如何適配運行時權限,其標准做法是什么?
1. 在AndroidManifest.xml列出所有所需的權限,包括普通權限和危險權限
2. 應用啟動后,需調用所需運行時權限的API前,先調用系統API,如checkSelfPermission來查詢自身是否已獲取相關權限,如已獲取,可繼續正常執行API或后續操作等,下面用偽代碼表示:
1 if (checkSeflPermission(...)) { 2 // 應用未獲取此危險權限 3 if (shouldShowRequestPermissionRationale(...)) { 4 // 用戶對此權限是拒絕狀態,此時應用可自行彈窗告知用戶,注意:如果用戶在拒絕時勾選了“不再詢問”,此方法會返回false,不再可靠,則可在onRequestPermissionsResult方法中再執行類似以下操作 5 // 例如百度地圖的做法,會彈窗,告知用戶缺少相關權限,請點擊跳轉到設置頁面,進行權限開啟,這也是多數應用的標准做法 6 // ...... 7 } else { 8 // 用戶對此權限是詢問狀態,應用可調用系統API彈窗去申請權限,用戶操作結果可在overload方法onRequestPermissionsResult中處理 9 requestPermissions(...); 10 } 11 } else { 12 // 已有此危險權限,后面可放心執行相關操作 13 // ..... 14 }
最后,列出所有的危險權限,注意,這里有權限組(Permission Groups)的概念,申請某個具體的權限時,系統在彈窗中只會告知用戶應用所需訪問的權限組,並不會描述該具體權限。如果某個權限組中,應用一個權限都還沒被授權,則會彈窗供用戶選擇授權;如果某個權限組中,應用已被授權了其中一個權限,那么應用再次申請同一個權限組內其他權限時,會被自動默認授權。
參考:
1. https://developer.android.com/training/permissions/requesting.html?hl=zh-cn
2. https://developer.android.com/training/permissions/best-practices.html?hl=zh-cn
3. https://developer.android.com/guide/topics/security/permissions.html?hl=zh-cn#normal-dangerous
2018,加油! 2018.3.16