android预置权限,安卓预置应用的特权适配

首先要理解特权应用

位于系统分区的priv-app目录下的应用就是特权应用。普通三方应用只应包含normal和dangerous(运行时)级别的权限，特权应用可能会增加signature和privileged级别的权限。

如果在app的Android.bp文件内定义了privileged: true, 或者在Android.mk内定义了LOCAL_PRIVILEGED_MODULE := true 那么这个apk就会被编译到system/priv-app分区内成为特权应用。

如果在Android.mk内组合了LOCAL_PRODUCT_MODULE := true，那么编译位置变成system/product/priv-app分区

同理在Android.bp内组合了product_specific: true，那么也将编译到system/product/priv-app分区

对于特权应用来说，它的启动时机是不可控的，对于privileged/signature权限，如果不进行预先授予，那么必将导致设备严重bug。因此必须声明在permission白名单内。

不同的Android版本定义的特权分区如下：

小于等于Android 8.1的版本，特权分区为/system。

大于等于Android 9的版本，特权分区为/system, /product和/vendor。

对于安卓11版本，特权分区新增了/system_ext。

参考01: 系统应用provision

首先在provision项目的 Android.mk 文件内定义了LOCAL_REQUIRED_MODULES=privapp_whitelist_com.android.provision， 即在编译它之前先编译privapp_whitelist_com.android.provision。这个module定义位置在/frameworks/base/data/etc/Android.bp内：

prebuilt_etc {

name: "privapp_whitelist_com.android.provision",// 配置文件的别名

product_specific: true, // 配置文件添加到product分区

sub_dir: "permissions", // 配置文件的目录

src: "com.android.provision.xml",

filename_from_src: true,

} //如果想把配置文件编译到 vendor 区， 添加 proprietary: true 即可。

Launcher3的默认权限最终被编译到SYSTEM\product\etc\permissions\com.android.launcher3.xml

特权应用权限白名单文件的位置：/etc/permissions/

如果定义了product_specific，那么特权分区组合地址为：SYSTEM\product

如果定义了proprietary，那么特权分区组合地址为：vendor (此处存疑，欢迎指正)

如果定义了system_ext_specific，那么特权分区组合地址为：SYSTEM\system_ext (安卓11新增)

参考02: 系统应用MusicFX

MusicFX在它的manifest.xml里定义有android.permission.CHANGE_COMPONENT_ENABLED_STATE权限，权限解释详见：CHANGE_COMPONENT_ENABLED_STATE，它属于privileged level的权限。

同时在Android.bp内定义了platform_apis: true, privileged: true,两个属性，标识这是一个系统应用，采用包含hide api的platform进行编译。

在frameworks/base/data/etc/privapp-permissions-platform.xml内定义了MusicFX所需要的CHANGE_COMPONENT_ENABLED_STATE特殊权限。

在最终编译的rom内，app的预置权限被定义在SYSTEM\etc\permissions\privapp-permissions-platform.xml内。

Development:新增app的特权操作

如果应用定义了protectionLevel="signature|privileged"类型的权限，那么需要为应用添加白名单权限，我们可以在frameworks/base/data/etc/privapp-permissions-platform.xml内添加。

如果你已经把源码编译过，那么可以通过执行development/tools/privapp_permissions/privapp_permissions.py这个脚本看到你需要配置的信息，例如如下信息：

........

这就是白名单内容，我们可以把privapp-permissions实体放到frameworks/base/data/etc/privapp-permissions-platform.xml，当然也可以单独生成一个文件，名为.xml，但这需要在Android.bp中进行编译配置(可参考第二段中的provision设置)。

Development:新增app的dangerous(运行时)权限操作

参考android-11的相关源码：frameworks/base/services/core/java/com/android/server/pm/permission/DefaultPermissionGrantPolicy.java

private File[] getDefaultPermissionFiles() {

ArrayList ret = new ArrayList();

File dir = new File(Environment.getRootDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}

dir = new File(Environment.getVendorDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}

dir = new File(Environment.getOdmDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}

dir = new File(Environment.getProductDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}SystemExt 为android-11新增

dir = new File(Environment.getSystemExtDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}

// For IoT devices, we check the oem partition for default permissions for each app.

if (mContext.getPackageManager().hasSystemFeature(PackageManager.FEATURE_EMBEDDED, 0)) {

dir = new File(Environment.getOemDirectory(), "etc/default-permissions");

if (dir.isDirectory() && dir.canRead()) {

Collections.addAll(ret, dir.listFiles());

}

}

return ret.isEmpty() ? null : ret.toArray(new File[0]);

}

创建一个default_permissions.xml文件(名称非限定)，模板如下：