上一篇讲到了广播的安全性隐患问题,有兴趣可通过下面链接去学习
https://developer.aliyun.com/article/995233?spm=a2c6h.13148508.setting.14.41004f0ejEnOao
既然存在安全性隐患,那就要去解决,如何解决呢?下面从两个方面来解决这个安全隐患,分别是自定义广播权限和使用LocalBroadcastManager。
一、LocalBroadcastManager
LocalBroadcastManager的使用方式跟常用BroadcastManager基本一样,多了一步获取LocalBroadcastManager对象,采用单例获取实例。
优点:
1.因广播数据在本应用范围内传播,因此不必担心隐私数据泄露的问题。
2.不必担心别的应用伪造广播,造成安全隐患。
3.相比在系统内发送全局广播,它更高效。
缺点:
1.不能跨进程。即使本应用里的两个进程之间也无法通信。
下面是使用方法
private LocalBroadcastManager localBroadcastManager;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
localBroadcastManager = LocalBroadcastManager.getInstance(this); // 获取LocalBroadcastManager实例
Button button = (Button) findViewById(R.id.button);
button.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
Intent intent = new Intent("com.example.broadcasttest.LOCAL_BROADCAST");
localBroadcastManager.sendBroadcast(intent); // 发送本地广播
}
});
intentFilter = new IntentFilter();
intentFilter.addAction("com.example.broadcasttest.LOCAL_BROADCAST");
localReceiver = new LocalReceiver();
localBroadcastManager.registerReceiver(localReceiver, intentFilter); // 注册本地广播监听器
}
@Override
protected void onDestroy() {
super.onDestroy();
localBroadcastManager.unregisterReceiver(localReceiver);//注销广播
}
class LocalReceiver extends BroadcastReceiver {
@Override
public void onReceive(Context context, Intent intent) {
Toast.makeText(context, "received local broadcast", Toast.LENGTH_SHORT).show();
}
}二、自定义权限广播
在发送和接收的时候,给广播加上权限,可以避免安全隐患。
(1)先定义一个权限,在AndroidManifest.xml中申明
<permission
android:name="com.example.permission.test"
android:label="BroadcastReceiverPermission"
android:protectionLevel="signature">
</permission>这里重点要看一下android:protectionLevel属性,如下:
normal:默认的,应用安装前,用户可以看到相应的权限,但无需用户主动授权。
dangerous:normal安全级别控制以外的任何危险操作。需要dangerous级别权限时,Android会明确要求用户进行授权。常见的如:网络使用权限,相机使用权限及联系人信息使用权限等。
signature:它要求权限声明应用和权限使用应用使用相同的keystore进行签名。如果使用同一keystore,则该权限由系统授予,否则系统会拒绝。并且权限授予时,不会通知用户。它常用于应用内部。把protectionLevel声明为signature。如果别的应用使用的不是同一个签名文件,就没办法使用该权限,从而保护了自己的接收者。
(2)注册广播接收者的时候加上定义的权限
静态注册方式
<receiver
android:name=".common.MyBroadcastReceiver"
android:exported="false"
android:permission="com.example.permission.test">
<intent-filter>
<action android:name="action.name"/>
</intent-filter>
</receiver>动态注册的方式,需要将android:protectionLevel设置为signature,这样当签名不一致时就不会启动该receiver
MyBroadcastReceiver receiver = new MyBroadcastReceiver();
IntentFilter intentFilter = new IntentFilter();
intentFilter.addAction("com.example.broadcast.test");
intentFilter.addCategory(Intent.CATEGORY_DEFAULT);
//注册receiver时,直接指定发送者应该具有的权限。不然外部应用依旧可以触及到receiver
registerReceiver(receiver, intentFilter, "com.example.permission.test", null);定义和申明权限
<permission
android:name="com.example.permission.test"
android:label="BroadcastReceiverPermission"
android:protectionLevel="signature">
</permission>
<uses-permission android:name="com.example.permission.test"/>发送广播的时候需要带上权限
Intent intent = new Intent("com.example.broadcast.test");
sendBroadcast(intent,"com.example.permission.test");