權限 shareuser certificat Runtime.exec

 

在 [Mokoid] 的 LedTest 範例裡，找到 [AndroidManifest.xml] 檔案。這個檔案為應用程式的「交貨清單」；在開發 LedTest 的過程中，我們加入了一個屬性如下：

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
package="com.mokoid.LedTest"
android:sharedUserId="android.uid.system">

原來，ServiceManager 會去檢查應用程式的權限；Android 作業系統會根據 UID 做權限管制，這裡所講的 UID 就是 Linux 系統管理面所討論的 User ID，即使用者 ID。在 [] 裡，找到這段實作：

int svc_can_register(unsigned uid, uint16_t *name)
{
unsigned n;
　
if ((uid == 0) || (uid == AID_SYSTEM))
return 1;
　
for (n = 0; n < sizeof(allowed) / sizeof(allowed[0]); n++)
if ((uid == allowed[n].uid) && str16eq(name, allowed[n].name))
return 1;
　
return 0;
}
　
int do_add_service(struct binder_state *bs,
uint16_t *s, unsigned len,
void *ptr, unsigned uid)
{
struct svcinfo *si;
//    LOGI("add_service('%s',%p) uid=%d\n", str8(s), ptr, uid);
　
if (!ptr || (len == 0) || (len > 127))
return -1;
　
if (!svc_can_register(uid, s)) {
LOGE("add_service('%s',%p) uid=%d - PERMISSION DENIED\n",
str8(s), ptr, uid);
return -1;
}
...










涉及到權限管理的兩個文件：

AndroidManifest.xml 和 Android.mk

AndroidManifest.xml

聲明權限：

<uses-permissionandroid:name="android.permission.ACCESS_SURFACE_FLINGER" />

        <uses-permission android:name="android.permission.VIBRATE"/>

聲明用戶組      

<manifest xmlns:android="http://schemas.android.com/apk/res/android"

    package="com.android.inputmethod.pinyin"

    android:sharedUserId="android.uid.system">   

   

Android.mk

中通過證書來聲明權限。

LOCAL_CERTIFICATE := platform

需要和manifest中的android:sharedUserId="android.uid.system"  對應起來。  

platform 權限問題，最好運行在自己編譯的系統上，纔可以有次特權。

如果修改了應用的權限。因爲老的應用和數據有關聯，因此，

重新下載應用並且需要嘗試做一個恢復出廠設置或者通過應用管理器刪除應用關聯的所有數據。  

system uid = 1000 是特殊權限進程。



}

AID_SYSTEM 被定義為 1000，即 system server 的 UID。從上述的實作可以瞭解，ServiceManager 會去檢查應用程式的 UID，當 UID 不符規定時，便無法執行 do_add_service()。

也就是：當應用程式的 UID 不是 1000 時，是沒有權限新增 Android Service 的。所以，在 AndroidManifest.xml 裡加上 android:sharedUserId 屬性的目的在於此：將應用程式的 UID 定義為 android.uid.system 即 1000，程式即可具備新增 Android Service 的權限。

以 Mokoid 所提供的範例為例，「因為我們是在 Android 應用程式裡啟動 Android Service」，因此要特別留意這個部份。典型的新增 Android Service 做法是修改 frameworks/base/services/java/com/android/server/SystemServer.java 檔案，但是，「因為 3M 分支維護策略的理念是儘量避免更動原始的 Android 程式碼」，所以我們採取這種「Start LedService in a seperated process.」的做法。細節請參考 Mokoid 範例。