Android添加用户组及自定义App权限

本文详细介绍在Android设备上,如何通过创建自定义用户组并分配权限,实现对USB转串口设备的安全访问。包括修改源码定义用户组、添加权限管理及判断App权限状态的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Android:4.4.4
一、应用场景
在Android设备上,现在我们外接了一个USB转串口的设备,设备节点是/dev/ttyUSB0:

# ls -l /dev/ttyUSB0
crw-rw---- 1 root root 188, 0 /dev/ttyUSB0

信息显示:该设备的用户及其所属组别都是root,root的持有者对该设备具有读写权限。但是,我们的App是被排除在root之外的,总之无法读写该设备。
一个解决方案是:赋予others以读写权限。但是这样,任何其他第三方应用都可以访问我们的设备,安全性一丝不剩。
另一个解决方案就是:改变/dev/ttyUSB0所属的用户组:
crw-rw---- 1 root selfgroup 188, 0 /dev/ttyUSB0

哪个App想使用该设备,就把它加入到selfgroup 组中。由于权限分发权在我们手中,安全性就得到了保障。

二、添加自定义用户组
接下来就是怎么添加我们自己的用户组。
在Android中,每一个用户组都有一个唯一的ID号,定义在文件:

system\core\include\private\android_filesystem_config.h
/* This is the master Users and Groups config for the platform.
 * DO NOT EVER RENUMBER
 */
#define AID_ROOT             0  /* traditional unix root user */
#define AID_SYSTEM        1000  /* system server */
#define AID_RADIO         1001  /* telephony subsystem, RIL */
#define AID_BLUETOOTH     1002  /* bluetooth subsystem */
#define AID_GRAPHICS      1003  /* graphics devices */
#define AID_INPUT         1004  /* input devices */
#define AID_AUDIO         1005  /* audio devices */
#define AID_CAMERA        1006  /* camera devices */

仿照其添加自己的ID号(不允许重复)、并赋予它一个字符串的名字(后文用到):

/** 第1步 */
#define AID_SELF_GROUP    8011
/** 第2步 */
static const struct android_id_info android_ids[] = {
    { "root",          AID_ROOT, },
    {省略 .......................},
    /** 自定义组名 */
    {{ "selfgroup", AID_SELF_GROUP, },},
}

然后在Android源码/device目录下板级.rc文件中:


编译boot.img并烧录,重启后查看节点组别已经变成自定义的“selfgroup”。


三、为自定义组别添加权限管理
设备中App要访问我们的设备,需要加入“selfgroup”组中。所以我们需要提供权限信息给App,使得App:

<uses-permission android:name="android.permission.SELFGROUP" />
即可加入到“selfgroup”组中。
这需要做两步。
1、组控制权限的实现:
Android源码/frameworks/base/data/etc/platform.xml
<permission name="android.permission.SELFGROUP" >
    <group gid="selfgroup" />
</permission>

2、组控制权限的声明:
Android源码/frameworks/base/core/res/AndroidManifest.xml
<permission android:name="android.permission.SELFGROUP"
    android:permissionGroup="android.permission-group.SELFGROUP"
    android:protectionLevel="dangerous"
    android:label="@string/permlab_sys_selfgroup"
    android:description="@string/permdesc_sys_selfgroup" />

自此,权限定义完成。

另,如何判断App申请组权限成功与否?
Android源码/frameworks/base/services/java/com/android/server/am/ActivityManagerService.java
public final class ActivityManagerService extends ActivityManagerNative {
    static final String TAG = "ActivityManager";
    private final void startProcessLocked(ProcessRecord app,
        String hostingType, String hostingNameStr) {
        int uid = app.uid;
        int[] gids = null;
        StringBuilder buf = mStringBuilder;
        buf.setLength(0);
        buf.append("Start proc ");
        buf.append(app.processName);
        buf.append(" for ");
        buf.append(hostingType);
        if (hostingNameStr != null) {
            buf.append(" ");
            buf.append(hostingNameStr);
        }
        buf.append(": pid=");
        buf.append(startResult.pid);
        buf.append(" uid=");
        buf.append(uid);
        buf.append(" gids={");
        if (gids != null) {
            for (int gi=0; gi<gids.length; gi++) {
                if (gi != 0) buf.append(", ");
                buf.append(gids[gi]);
            }
        }
        buf.append("}");
        Slog.i(TAG, buf.toString());
    }
}

即:当启动App的时候,ActityManagerService会把该App的Uid、Gid等信息输出到控制台,我们通过log查看“gids=”字段是否含有我们自定义的组ID号“8011”即可。
比如启动微信Log:

I/ActivityManager(  977): Start proc com.tencent.mm for activity com.tencent.mm/.ui.LauncherUI: pid=1106
--------------------- 
作者:__2017__ 
来源:优快云 
原文:https://blog.youkuaiyun.com/u013686019/article/details/52753727/ 
版权声明:本文为博主原创文章,转载请附上博文链接!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值