你所不知道的权限-Custom permission issue

最新推荐文章于 2025-06-27 09:42:38 发布
原创 最新推荐文章于 2025-06-27 09:42:38 发布 · 2.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在GMS认证测试中遇到的权限问题,涉及代码安全,具体表现为某些权限可能导致恶意第三方应用执行组件逻辑。问题起源于Lolipop系统后不允许重复定义自定义权限。解决方案是利用Android Framework来避免此类问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题来源:手机厂商在进行GMS认证测试时测试出的问题,比如如下代码会产生权限安全问题

<receiver
    android:name=".wxapi.WXRegister"
    android:permission="com.tencent.mm.plugin.permission.SEND" >
    <intent-filter>
        <action android:name="com.tencent.mm.plugin.openapi.Intent.ACTION_REFRESH_WXAPP" />
    </intent-filter>
</receiver>

com.sohu.newsclient.wxapi.WXRegister (com.tencent.mm.plugin.permission.SEND)

问题分析:

      1.任何具有com.tencent.mm.plugin.permission.SEND权限的代码可能会执行你组件(如BroadCastReceiver)中的逻辑。

      2.如果第三方危害性的应用首先安装已经注册了这com.tencent.mm.plugin.permission.SEND权限


,并且设置android:protectionLevel="signature",那咱们的应用就会应为签名不同而无法安装,如 
<uses-permission android:name="com.master.me.CUSTOM_PERMISSION_TEST"    android:protectionLevel="signature"/>

问题根源:At the beginning Lolipop OS, Basically, Duplicated custom permission definition is not allowed.  (If A App defines Permission P and is installed, B App which defines Permission P can not be installed if A app and B App's signature is different.)


解决方法:

1.利用Android FrameWork来规避此问题

manifest>
...
    <activity
        android:name=".InternalActivity"
        android:permission="com.hiqes.sample.frm_enf_perm"
        android:exported="false" >

        <intent-filter>
            <action android:name="com.hiqes.sample.INTERNAL_ACTION1" />
            <category android:name="android.category.DEFAULT" />
        </intent-filter>
        <intent-filter>
            <action android:name="com.hiqes.sample.INTERNAL_ACTION2" />
            <category android:name="android.category.DEFAULT" />
        </intent-filter>
        ...
    </activity>
....
</manifest>

EasyPermission:一句代码解决动态权限的申请和回执(带权限提示信息)
yeluofengchui的博客
03-28 2267
效果展示 以上是演示请求一个相机权限的过程: 首次申请(顶部提醒)-拒绝-再次申请(顶部提醒)-再次拒绝(并勾选禁止再次询问)-再次申请(中部弹窗引导)-在设置页授权-返回-再次申请(中部弹窗引导)-在设置页将相机权限设为允许-返回app 在此过程中,任意一次拒绝和允许,都可以及时的拿到允许/拒绝的结果,进而在页面展示授权状态或者执行自己授权后的逻辑。以上的这些所有逻辑,只需要一句代码就能搞定,你相信吗? 是的,EasyPermission她来了,在项目中集成之后,安卓权限的检查、申请、提示、
快速接入wall-auth完成权限管理
moruke的博客
06-15 1087
快速接入wall-auth,实现细粒度权限管控
本示例为 实现使用 自定义权限, 需要与ch10_ClientofCustomPermission 工程配合使用
12-07
本示例为 实现使用 自定义权限, 需要与ch10_ClientofCustomPermission 工程配合使用
django custom-permissions
weixin_30530339的博客
07-22 125
https://docs.djangoproject.com/en/2.2/topics/auth/customizing/#custom-permissions 转载于:https://www.cnblogs.com/yangjintao/p/11227750.html
Minio-如何设置Bucket的Custom权限
最新发布
JackieJia的博客
06-27 444
minio首先是一个开源的对象存储平台,限制与存储图片、文件什么的,各种静态资源都可以管理,和阿里云的OSS一样,都有Bucket的概念来统一管理同应用或同渠道的对象资源,也可以针对Bucket设置同的权限,如下主要介绍下如何设置Bucket的权限。在我们的实际项目中,大多少场景都会用到文件的上传和下载,所以这个时候就需要一个专门的文件存储服务器来存放各种同类型的文件,目前主流的商业的平台有阿里云的OSS,AWS的S3等,也有主流的开源的方案比如Minio,如下简单介绍minio。
Android 自定义权限 permission
UNETMAN
08-09 1274
Android支持为应用程序自定义权限。如果希望自己的程序组件(如Activity,BroacastReceiver)等被任意用户随意启动执行。要使用自定义权限,首先在AndroidManifest.xml文件中声明它们,定义了权限之后,可以将它作为组件定义的一部分进行引用。
本示例为 使用 自定义权限客户端程序, 需要与ch10_CustomPermission 工程配合使用
12-07
本示例为 使用 自定义权限客户端程序, 需要与ch10_CustomPermission 工程配合使用
自定义权限 android,Android权限控制之自定义权限
weixin_29111593的博客
05-25 375
天哪,这篇文章终于说道如何自定义权限了,左盼右盼,其实这个自定义权限相当easy。为了方便叙述,我这边会用到两个app作为例子示范。Permission App: used to define a new permission这个作为定义权限的App,我称之为Permission App.Client App: used to access the specified activity of Pe...
Child-issue字段隐藏
06-26
| 特定用户看到子任务 | 权限缺失 | 检查权限方案中的"查看子任务" | | 字段显示为技术ID(如`Jpo-child-issues...`) | 语言包缺失 | 检查Atlassian Marketplace语言包更新 | --- ### 相关问题 1. 如何在 Jira ...
my cloud test bed (by quqi99)
技术并艺术着
03-10 1994
若容器里如果上了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
Vulnhub:DC-1
imawuya的博客
01-17 1233
Vulnhub:DC-1靶场通关记录
android 使用自定义权限(1)
11-15 3193
执行运行时安全性检查      Android中的运行时安全性检查是在进程级别和操作级别上进行的。在进程级别,Android禁止一个应用程序直接访问另一个应用程序的数据。实现方法是,每个应用程序都在同的进程中运行,使用唯一且固定的ID。在操作级别上,Android定义了一组受保护的功能和资源。要使用应用程序能够访问此信息,必须向  AndroidManifest.xml 文件添加一个或多个权限
Android_APP 微信支付接口开发
Han_Wen2015的专栏
09-18 5517
1、首先说一下我们在开发微信支付接口的时候遇到最多和最疑惑的问题,那就是明明 appid、商户号、API密钥 都对照了好几遍确实是和自己的一样,并且也没有在Log日志中出现签名错误等信息,却始终调起微信支付,或是直接回到支付结果后的界面并提示 “微信支付结果:null;code=-1”。这就是微信支付中的一个深坑之处(为什么说这是深坑之处呢?会在下面特别说明)。 2、下面就教大家如何跳出这个深坑
Android 微信分享
不忘初心 方得始终
02-25 2261
之前使用友盟社会化组件还有sharesdk,使用起来的确是简单了很多,但是自定义就差太多了,比如友盟,能单独分享图片,只能是带链接的图片,而且图片是大图,点击就是看链接,而是直接看这张大图,有时候客户需要很奇葩,就得自己写。所以花点时间看看微信分享的示例程序,自己动手做一做。 package cn.net.xuefei.king; import com.tencent.mm.sd
Android 自定义权限
wolf0706的专栏
01-18 1047
在 Android 项目的清单文件(AndroidManifest.xml)中,找到 标签,并在标签内部添加一个 元素。该元素用于定义自定义权限的名称、保护级别和其他属性。android:protectionLevel 是在 Android 清单文件中 元素中用于指定权限保护级别的属性。它决定了应用程序访问敏感资源或执行敏感操作时对权限的要求和限制。需要授予或检查自定义权限的组件(如活动、服务、接收器等)中,使用 元素声明对自定义权限的依赖。
微信接口开发报错处理
haierboos
08-26 630
08-26 17:15:30.786: D/MicroMsg.SDK.MMessageAct(16112): send mm message, intent=Intent { flg=0x18000000 cmp=com.tencent.mm/.plugin.base.stub.WXEntryActivity (has extras) }08-26 17:15:30.896: W/IInputCo...
Bug: 解决 无法下载 com.tencent.mm.opensdk:wechat-sdk-android-without-mta:+的问题
热门推荐
写代码的仓颉
05-07 1万+
在Android Studio使用微信的sdk时,时时会遇到com.tencent.mm.opensdk:wechat-sdk-android-without-mta:+无法下载的问题,导致run或build的时候失败。 网上的办法是指明明确的版本号,然而一直都用+,也就是一直都在用最新的版本,如果随便指定网上说的版本号,又担心会api会一样。就想去官网找版本号,但我没找着,在官方文档里面也...
微信支付APP支付完全攻略
wang2010bb的博客
12-14 4088
微信支付接入应用最近项目中要接入微信支付,所以就去研究了下,发现坑还真少啊。也就有了这篇博客。 接入前准备 在开始接入微信支付前你的去微信的开发平台上面注册你自己的应用。具体的链接是微信开发平台 当然你也可以从APIStore里面找到微信的开发平台。在开放平台注册应用并申请微信支付功能。默认在开放平台注册的应用只有分享基本功能,要开通微信支付的需要以下流程。微信开发平台开通微信支付流程 移动应
weixin 修改记录
六桥风月IT随笔
05-01 1535
关键字视频sight_md5 com.tencent.mm.sdk.platformtools.d.a((Bitmap)localObject, 60, Bitmap.CompressFormat.JPEG, paramString1, true); localObject = new Intent(); ((Intent)localObject).putExtra("KSightPath", p
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值