安卓应用安全指南 5.3.3 将内部账户添加到账户管理器 高级话题-阿里云开发者社区

开发者社区> apachecn_飞龙> 正文

安卓应用安全指南 5.3.3 将内部账户添加到账户管理器 高级话题

简介: 5.3.3 将内部账户添加到账户管理器 高级话题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 5.3.3.1 账户管理和权限的使用 要使用AccountManager类的每种方法,都需要在应用的AndroidManifest.xml中分别声明使用相应的权限。
+关注继续查看

5.3.3 将内部账户添加到账户管理器 高级话题

原书:Android Application Secure Design/Secure Coding Guidebook

译者:飞龙

协议:CC BY-NC-SA 4.0

5.3.3.1 账户管理和权限的使用

要使用AccountManager类的每种方法,都需要在应用的AndroidManifest.xml中分别声明使用相应的权限。 表 5.3-1 显示了权限和方法的对应关系。

表 5.3-1 账户管理器的函数以及权限

账户管理器提供的函数
权限 方法
AUTHENTICATE_ACCOUNTS(只有由认证器的相同密钥签名的软件包才可以使用。) getPassword()
getUserData()
addAccountExplicitly()
peekAuthToken()
setAuthToken()
setPassword()
setUserData()
renameAccount()
GET_ACCOUNTS getAccounts()
getAccountsByType()
getAccountsByTypeAndFeatures()
addOnAccountsUpdatedListener()
hasFeatures()
MANAGE_ACCOUNTS getAuthTokenByFeatures()
addAccount()
removeAccount()
clearPassword()
updateCredentials()
editProperties()
confirmCredentials()
USE_CREDENTIALS getAuthToken()
blockingGetAuthToken()
MANAGE_ACCOUNTSUSE_CREDENTIALS invalidateAuthToken()

在使用需要AUTHENTICATE_ACCOUNTS权限的方法组的情况下,存在软件包的签名密钥以及权限相关的限制。 具体来说,提供认证器的包的签名密钥,和使用方法的应用的包的签名密钥应该是相同的。 因此,在分发使用方法组的应用时,除了认证器之外,必须使用AUTHENTICATE_ACCOUNTS权限,并且应使用认证器的相同密钥进行签名。

在 Android Studio 的开发阶段,由于固定的调试密钥库可能会被某些 Android Studio 项目共享,开发人员可能只考虑权限而不考虑签名,来实现和测试帐户管理器。 特别是,对于对每个应用使用不同签名密钥的开发人员来说,因为这种限制,在选择用于应用的密钥时要非常小心。 此外,由于AccountManager获得的数据包含敏感信息,因此需要小心处理,来减少泄漏或未授权使用的风险。

5.3.3.2 在 Android 4.0.x 中,用户应用和认证器应用的签名密钥不同时发生的异常

认证令牌获取功能是由开发者密钥签发的用户应用所需的,它不同于认证器应用的签名密钥。通过显示 认证令牌许可证屏幕(GrantCredentialsPermissionActivity),AccountManager验证用户是否授予认证令牌的使用权。但是 Android 4.0.x 的 Android 框架中存在一个错误,只要AccountManager打开此屏幕,就会发生异常并且应用被强制关闭 。 (图5.3-3)。 错误的详细信息,请参阅 https://code.google.com/p/android/issues/detail?id=23421。 这个 bug 在 Android 4.1.x 及更高版本中无法找到。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Python 语法基础 | 学习笔记
快速学习 Python 语法基础
5 0
课程内容介绍(1)| 学习笔记
快速学习课程内容介绍(1)
3 0
Python 文件操作实战 | 学习笔记
快速学习 Python 文件操作实战
4 0
Python 异常处理实战| 学习笔记
快速学习 Python 异常处理实战
4 0
Python 模块实战| 学习笔记
快速学习 Python 模块实战
4 0
冬季实战营第一期体验报告
关于冬季实战营第一期:从零到一上手玩转云服务器的学习感想
7 0
冬季实战营第一期场景体验报告
冬季实战营,帮助开发者学习使用云上资源,高效开发。实战营让开发者动手实战,由专家带练。由浅及深,逐渐提升开发者的动手实操能力!
5 0
Python 模块实战| 学习笔记
快速学习 Python 模块实战
4 0
+关注
apachecn_飞龙
Github:@wizardforcel 简书:@ApacheCN_飞龙 微博:@龙雀 CSDN:@wizardforcel ApacheCN 官网:apachecn.org 机器学习交流群:629470233
719
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载