大家好,欢迎来到IT知识分享网。
文章目录
一、访问控制
默认情况下,应用只能访问有限的系统资源。但某些情况下,应用存在扩展功能的诉求,需要访问额外的系统数据(包括用户个人数据)和功能,系统也必须以明确的方式对外提供接口来共享其数据或功能。
系统通过访问控制的机制,来避免数据或功能被不当或恶意使用。当前访问控制的机制涉及多方面,包括应用沙箱、应用权限、系统控件等方案。
二、应用权限
系统根据应用的APL等级设置进程域和数据域标签,并通过访问控制机制限制应用可访问的数据范围,从而实现在机制上消减应用数据泄露的风险。
不同APL等级的应用能够申请的权限等级不同,且不同的系统资源(如:通讯录等)或系统能力(如:访问摄像头、麦克风等)受不同的应用权限保护。通过严格的分层权限保护,有效抵御恶意攻击,确保系统安全可靠。
1、应用权限管控
系统提供了一种允许应用访问系统资源(如:通讯录等)和系统能力(如:访问摄像头、麦克风等)的通用权限访问方式,来保护系统数据(包括用户个人数据)或功能,避免它们被不当或恶意使用。
应用权限保护的对象可以分为数据和功能:
数据包括个人数据(如照片、通讯录、日历、位置等)、设备数据(如设备标识、相机、麦克风等)。
功能包括设备功能(如访问摄像头/麦克风、打电话、联网等)、应用功能(如弹出悬浮窗、创建快捷方式等)。
2、权限使用的基本原则
合理的使用场景有助于应用权限申请和使用。开发应用时权限申请需要满足如下原则:
- 应用(包括应用引用的三方库)所需权限必须在应用的配置文件中严格按照权限开发指导逐个声明。
- 权限申请满足最小化原则,禁止申请非必要的、已废弃的权限。应用申请过多权限,会引起用户对应用安全性的担忧以及使用体验变差,从而也会影响到应用的安装率和留存率。
- 应用申请敏感权限时,必须填写权限使用理由字段,敏感权限通常是指与用户隐私密切相关的权限,包括地理位置、相机、麦克风、日历、健身运动、身体传感器、音乐、文件、图片视频等权限。
- 应用敏感权限须在对应业务功能执行前动态申请,满足隐私最小化要求。
- 用户拒绝授予某个权限后,应用与此权限无关的其他业务功能应允许正常使用。
3、授权方式
根据授权方式的不同,权限类型可分为system_grant(系统授权)和user_grant(用户授权)。
- system_grant(系统授权)
system_grant指的是系统授权类型,在该类型的权限许可下,应用被允许访问的数据不会涉及到用户或设备的敏感信息,应用被允许执行的操作对系统或者其他应用产生的影响可控。
如果在应用中申请了system_grant权限,那么系统会在用户安装应用时,自动把相应权限授予给应用。
- user_grant(用户授权)
user_grant指的是用户授权类型,在该类型的权限许可下,应用被允许访问的数据将会涉及到用户或设备的敏感信息,应用被允许执行的操作可能对系统或者其他应用产生严重的影响。
该类型权限不仅需要在安装包中申请权限,还需要在应用动态运行时,通过发送弹窗的方式请求用户授权。在用户手动允许授权后,应用才会真正获取相应权限,从而成功访问操作目标对象。
4、权限等级
为了防止应用过度索取和滥用权限,系统基于APL(Ability Privilege Level,元能力权限等级)等级,配置了不同的权限开放范围。
元能力权限等级APL指的是应用的权限申请优先级的定义,不同APL等级的应用能够申请的权限等级不同。
| 级别 | 说明 | 开放范围 |
|---|---|---|
| normal | 允许应用访问超出默认规则外的普通系统资源,如配置Wi-Fi信息、调用相机拍摄等。这些系统资源的开放(包括数据和功能)对用户隐私以及其他应用带来的风险低。 | 都能用 |
| system_basic | 允许应用访问操作系统基础服务(系统提供或者预置的基础功能)相关的资源,如系统设置、身份认证等。这些系统资源的开放对用户隐私以及其他应用带来的风险较高。 | 要签名证书 |
| system_core | 涉及开放操作系统核心资源的访问操作。这部分系统资源是系统最核心的底层服务,如果遭受破坏,操作系统将无法正常运行。 | 不开放 |
三、申请应用权限
1、选择申请权限的方式
应用在访问数据或者执行操作时,需要评估该行为是否需要应用具备相关的权限。如果确认需要目标权限,则需要在应用安装包中申请目标权限。
每一个权限的权限等级、授权方式不同,申请权限的方式也不同,开发者在申请权限前,需要先根据以下流程判断应用能否申请目标权限。
- system_grant(系统授权)
如果目标权限是system_grant类型,开发者在进行权限申请后,系统会在安装应用时自动为其进行权限预授予,开发者不需要做其他操作即可使用权限。
- user_grant(用户授权)
在应用需要获取user_grant权限时,请完成以下步骤:
1、在配置文件中,声明应用需要请求的权限。
2、将应用中需要申请权限的目标对象与对应目标权限进行关联,让用户明确地知道,哪些操作需要用户向应用授予指定的权限。
3、运行应用时,在用户触发访问操作目标对象时应该调用接口,精准触发动态授权弹框。该接口的内部会检查当前用户是否已经授权应用所需的权限,如果当前用户尚未授予应用所需的权限,该接口会拉起动态授权弹框,向用户请求授权。
4、检查用户的授权结果,确认用户已授权才可以进行下一步操作。
2、声明权限
应用在申请权限时,需要在项目的配置文件中,逐个声明需要的权限,否则应用将无法获取授权。
应用需要在module.json5配置文件的requestPermissions标签中声明权限。
| 属性 | 含义 | 数据类型 | 是否必填 | 取值范围 |
|---|---|---|---|---|
| name | 需要使用的权限名称。 | 字符串 | 必填 | 需为系统已定义的权限,取值范围请参考应用权限列表。 |
| reason | 申请权限的原因。 | 字符串 | 选填 | 该字段用于应用上架校验,当申请的权限为user_grant权限时必填,并且需要进行多语种适配。使用string类资源引用。格式为$string: *。 |
| usedScene | 权限使用的场景。包括abilities和when两个子项。 -abilities:使用权限的UIAbility或者ExtensionAbility组件的名称。 – when:调用时机。 |
对象 | 必填 | 当申请的权限为user_grant权限时建议填写。 |
3、声明样例
// module.json5
{
"module" : {
"requestPermissions":[ // 网络请求 {
"name": "ohos.permission.INTERNET" }, // 相机 {
"name": "ohos.permission.CAMERA", "reason": '$string:permission_reason_camera', "usedScene": {
} }, ] } } 4、二次向用户申请授权
当应用通过requestPermissionsFromUser()拉起弹框请求用户授权时,用户拒绝授权。应用将无法再次通过requestPermissionsFromUser拉起弹框,需要用户在系统应用“设置”的界面中,手动授予权限。
在“设置”应用中的路径:
应用也可以通过调用requestPermissionOnSetting(),直接拉起权限设置弹框,引导用户授予权限。
5、具体实现示例
以申请使用麦克风权限为例进行说明。
在UI中向用户申请授权。
调用requestPermissionsFromUser()方法后,应用程序将等待用户授权的结果。如果用户授权,则可以继续访问目标操作。如果用户拒绝授权,则需要提示用户必须授权才能访问当前页面的功能,并引导用户到系统应用“设置”中打开相应的权限。
应用也可以通过调用requestPermissionOnSetting(),直接拉起权限设置弹框,引导用户授予权限。
import {
abilityAccessCtrl, common, Permissions, bundleManager } from '@kit.AbilityKit' import {
promptAction } from '@kit.ArkUI'; const context = getContext(this) as common.UIAbilityContext; @Entry @Component struct PermissionPage {
// 打开系统设置的权限管理页 openPermissionSettingsPage() {
const BundleFlag = bundleManager.BundleFlag.GET_BUNDLE_INFO_WITH_APPLICATION // 获取 bundle 包信息 const bundleInfo = bundleManager.getBundleInfoForSelfSync(BundleFlag) // 通过 startAbility 打开 系统设置 页 context.startAbility({
bundleName: 'com.huawei.hmos.settings', // 固定写法CV:设置页的包名 abilityName: 'com.huawei.hmos.settings.MainAbility', // 固定写法CV:设置页的 ability 名 uri: 'application_info_entry', // 固定写法CV:打开 设置->应用和元服务 parameters: {
// 应用包名可通过 bundleManager 动态获取 pushParams: bundleInfo.name } }) } // 申请麦克风授权 async requestMicrophone() {
const permissions: Array<Permissions> = ['ohos.permission.MICROPHONE']; // 1. 创建应用权限管理器 const atManager = abilityAccessCtrl.createAtManager() // 2. 向用户申请 user_grant 权限(温馨提示:首次申请时会弹窗,后续申请则不会再出现弹窗) const requestResult = await atManager.requestPermissionsFromUser( context, // 应用上下文 permissions // 参数:权限列表(数组)zou ) const isAuth = requestResult.authResults.every(item => item === abilityAccessCtrl.GrantStatus.PERMISSION_GRANTED) // 如果点击拒绝,则弹窗引导去设置页开启 if (!isAuth) {
promptAction.showDialog({
alignment: DialogAlignment.Center, title: '温馨提示', message: "开启后才能录制加密视频和音频", buttons: [ {
text: '取消', color: '#89939c' }, {
text: '去设置', color: '#0a59f7' }, ] }) .then((res) => {
// 用户点击了去设置 if (res.index === 1) {
// 通过代码打开当前应用的设置页 this.openPermissionSettingsPage() } }) } } build() {
Column() {
Button('申请麦克风授权') .onClick(() => {
this.requestMicrophone() }) }.padding(20) .height('100%') .width('100%') } } 6、效果展示
如果用户拒绝授权,通过调用requestPermissionOnSetting(),直接拉起权限设置弹框,引导用户授予权限。
四、应用权限列表
1、system_grant(系统授权)
更多请参见官网《对所有应用开放》
ohos.permission.ACCESS_NOTIFICATION_POLICY
在本设备上允许应用访问通知策略。
仅当控制铃声从静音到非静音时,需要申请该权限。
更多请参见官网《对所有应用开放》
2、user_grant(用户授权)
更多请参见官网《受限开放权限》
更多请参见官网《受限开放权限》
3、应用权限组列表
- 在申请目标权限前,建议开发者先阅读应用权限管控概述-权限组和子权限,了解相关概念,再合理申请对应的权限组。
- 当应用请求权限时,同一个权限组的权限将会在一个弹窗内一起请求用户授权,用户同意授权后,权限组内权限将被统一授权。地理位置、通讯录、通话记录、电话、信息、日历权限组除外。
- 当前系统支持的权限组如下所示,各子权限的含义请查阅应用权限列表。
更多请参见官网《应用权限组列表》
位置
ohos.permission.LOCATION_IN_BACKGROUND
ohos.permission.LOCATION
ohos.permission.APPROXIMATELY_LOCATION
通讯录
ohos.permission.READ_CONTACTS
ohos.permission.WRITE_CONTACTS
日历
ohos.permission.READ_CALENDAR
ohos.permission.WRITE_CALENDAR
图片和视频
ohos.permission.WRITE_IMAGEVIDEO
ohos.permission.READ_IMAGEVIDEO
ohos.permission.MEDIA_LOCATION
音乐和音频
ohos.permission.WRITE_AUDIO
ohos.permission.READ_AUDIO
文件夹
ohos.permission.READ_WRITE_DOWNLOAD_DIRECTORY
ohos.permission.READ_WRITE_DOCUMENTS_DIRECTORY
更多请参见官网《应用权限组列表》
五、封装方法类
检查是否授权,申请授权,打开系统设置的权限管理页,逻辑都是相同的,我们通过 class 把功能进行封装整合,方便复用。
//PermissionManager.ets
import {
abilityAccessCtrl, bundleManager, common, Permissions } from '@kit.AbilityKit'; class PermissionManager {
/ * 检查是否授权 * @param permissions 权限列表 * @returns 返回授权结果 */ checkPermissions(permissions: Permissions[]) {
// 1. 创建应用权限管理器 const atManager = abilityAccessCtrl.createAtManager() // 2. 获取 bundle 包信息,Sync 写法 const bundleFlag = bundleManager.BundleFlag.GET_BUNDLE_INFO_WITH_APPLICATION const bundleInfo = bundleManager.getBundleInfoForSelfSync(bundleFlag) // 3. 提取 tokenID const tokenID = bundleInfo.appInfo.accessTokenId // 4. 检测是否授权,Sync 写法,遍历权限组(数组) const grantStatus = permissions.map(item => atManager.checkAccessTokenSync(tokenID, item)) // 5. 返回权限数组的检测结果 return grantStatus.every(result => result === abilityAccessCtrl.GrantStatus.PERMISSION_GRANTED) } / * 申请授权(首次弹窗申请) * @param permissions 权限列表 * @returns 返回授权结果,授权成功为 Promise.resolve(), 拒绝授权为 Promise.reject() */ async requestPermissions(permissions: Permissions[]) {
// 1. 创建应用权限管理器 const atManager = abilityAccessCtrl.createAtManager() // 2. 向用户申请 user_grant 权限(温馨提示:首次申请时会弹窗,后续申请则不会再出现弹窗) const requestResult = await atManager.requestPermissionsFromUser( getContext(), // 应用上下文 permissions // 参数:权限列表(数组) ) // 3. 通过 every 检查权限是否都成功授权 const isAuth = requestResult.authResults.every(item => item === abilityAccessCtrl.GrantStatus.PERMISSION_GRANTED) // 4. 返回授权结果 // Promise.resolve() 返回 Promise 成功,await 后续代码,正常执行 // Promise.reject() 返回 Promise 错误,await 后续代码,不被执行,Promise.reject() 的结果可被 catch 捕获 return isAuth === true ? Promise.resolve(true) : Promise.reject(false) } / * 打开系统设置的权限管理页 */ openPermissionSettingsPage() {
// 1. 获取应用上下文,并通过 as 断言收窄类型为 UIAbilityContext,否则 context 默认类型无法调用 startAbility 方法 const context = getContext() as common.UIAbilityContext // 2. 获取 bundle 包信息 const bundleFlag = bundleManager.BundleFlag.GET_BUNDLE_INFO_WITH_APPLICATION const bundleInfo = bundleManager.getBundleInfoForSelfSync(bundleFlag) // 3. 通过 startAbility 打开 系统设置 页 context.startAbility({
bundleName: 'com.huawei.hmos.settings', // 固定写法:设置页的包名 abilityName: 'com.huawei.hmos.settings.MainAbility', // 固定写法:设置页的 ability 名 uri: 'application_info_entry', // 固定写法:打开 设置->应用和元服务 parameters: {
// 通过 bundleManager 获取应用包名 pushParams: bundleInfo.name } }) } } // 导出 permissionManager export const permissionManager = new PermissionManager() 使用示例
// 1、检查是否已开启某些权限 permissionManager.checkPermissions(['ohos.permission.READ_IMAGEVIDEO', 'ohos.permission.WRITE_IMAGEVIDEO']) // 2、申请开启某些权限 try {
permissionManager.requestPermissions(['ohos.permission.MICROPHONE']) // 允许 } catch (error) {
// 禁止 -> 可以引导用户打开设置页手动开启权限 } // 3、通过代码打开当前应用的设置页 permissionManager.openPermissionSettingsPage() 注意:需要申请的权限要提前在 module.json5 中添加权限
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/123269.html
