关注【搜狐技术产品】，第一时间获取技术干货

权限的目的是保护用户的隐私。

Android 安全架构的中心设计点是：在默认情况下任何应用都没有权限执行对其他应用、操作系统或用户有不利影响的任何操作。这包括读取或写入用户的私有数据（例如联系人或电子邮件）、读取或写入其他应用程序的文件、执行网络访问、使设备保持唤醒状态等。

由于每个 Android 应用都是在进程沙盒中运行，因此应用必须显示共享资源和数据。显示共享的方法是声明需要哪些权限来获取基本沙盒未提供的额外功能。应用以静态方式声明它们需要的权限，然后 Android系统提示用户同意。

一个 Android 应用默认情况下是不拥有任何权限的。在默认情况下，一个应用没有权限进行可能会造成安全影响的操作。安全影响包括此应用是否会对其它应用，操作系统，或者用户信息有安全威胁。

如果应用确实需要一些安全权限，对权限要求是合理的，就需要在 AndroidManifest.xml 中静态地声明需要用到的权限。

如果应用实际使用了没有在 Manifest 中声明的权限，在调用到相应权限功能时候，会抛出 SecurityException异常。

Android 权限分成四类：

任何权限都可属于一个权限组，包括正常权限和应用定义的权限。但权限组仅当权限危险时才影响用户体验。可以忽略正常权限的权限组。

如果设备运行的是 Android 6.0（API 级别 23），并且应用的targetSdkVersion 是 23 或更高版本，则当用户请求危险权限时系统会发生以下行为：

除了危险权限，Android 还有两个特殊敏感权限，但需要通过在设置应用中授权：

这两个特殊权限的授权，和危险权限授权不同，它使用 startActivityForResult 启动授权界面来完成。另外 Location权限组的相关危险权限，除了要动态授权，也是需要在设置中进行授权的。

所有危险的 Android 系统权限都属于权限组(这些权限组也包含一些非危险权限)。

以 Android Pie(api level 28)最新代码总结(官网文档有细节缺失)，Android 系统预定义了 10 组权限组（包含了所有 28 种危险权限，4 种其它权限），大部分普通权限不属于任何分组。

以 Android Pie(api level 28)统计，系统预定义权限有455个，可通过 Android SDK 访问的有151个。

这151个权限被引入系统的api level不同，且有些已经标识为@Deprecated，有些直接从 SDK 中移除，在官方文档也不再能查到，使用时需要根据文档标注的api level和注意事项进行版本兼容。

随着时间的发展，平台中可能会加入新的权限限制，要想使用特定 API，应用可能必须请求之前不需要的权限。默认Android将根据targetSdkVersion的值来处理此类权限，如果该值低于在其中添加权限的版本，则 Android 会自动帮应用添加该权限。

我们可以通过在 setting 应用中查看每个应用的所有权限和更新动态权限状态，也可以通过 adb 控制权限：

Android的完整权限定义在framework-res.apk中，android.jar只包含了普通应用能访问的权限组和权限定义。常见的权限如下：

从 Android 6.0（API级别 23）开始，用户开始在应用运行时向其授予危险权限，而不是在应用安装时授予。此方法可以简化应用安装过程，因为用户在安装或更新应用时不需要授予权限。用户可以随时进入应用的“Settings”中调整应用的动态权限授权。

在所有版本的 Android 中，您应用都需要在其应用 Manifest 中同时声明它需要的正常权限和危险权限。不过，该声明的影响因系统版本和应用的 targetSdkVersion的不同而有所差异：

从 Android 6.0（API 级别 23）开始，无论您的应用面向哪个 API 级别，您都应对应用进行测试，以验证它在缺少需要的权限时行为是否正常。

应用可以通过 Activity，Fragment，和 Context 类(建议使用 Support 包中的对应类，如 ContextCompat)中三个方法和一个回调，与用户协调动态权限的授权：

对于两个特殊权限 SYSTEM_ALERT_WINDOW 和 WRITE_SETTINGS，必须通过下面的方式判断授权情况，并通过 startActivity 来跳转到权限设置页去授权：

对于location权限，还需要通过 LocationManager.isProviderEnabled(LocationManager.GPS_PROVIDER)判断是否打开定位开关。

在使用 Android 权限时，需要遵循以下原则：

1、最少原则，只使用 APP 所必需的权限。可能还有其他方法能实现同样的需求，而无需访问敏感信息。

2、全面原则，应用需考虑第三方库所需的权限，当 APP 包含一个库时，会继承其权限要求。

3、清晰原则，当您发出权限请求时，要让用户明白正在访问的内容以及为什么要访问，以便用户做出明智的决定。

4、显式原则，当您访问敏感功能（例如相机或麦克风）时，提供连续的提示可以让用户清楚您在收集数据，避免让用户感觉您在偷偷收集数据。

例如，您需要用设备的 Camera 来拍照，你可以通过调用 Camera 的 API 来实现这个功能，但是这需要请求 Camera 的权限；你也可以你 Intent 启动 Camera 模块来实现这个功能，但是不需要请求 Camera 的权限。

例如，媒体播放器在通话期间静音或暂停，是使用 PhoneStateListener 监听呼叫状态的更改或监听android.intent.action.PHONE_STATE的广播。该解决方案的问题是它需要 READ_PHONE_STATE权限，这需要用户同意访问敏感数据（例如其设备和 SIM 硬件 ID 以及来电的电话号码）。您可以通过为您的应用请求 AudioFocus 来避免这种情况，因为它不需要明确的权限（因为它不访问敏感信息）。只需将音频切换到后台时所需的代码放在 onAudioFocusChange()事件处理程序中，当操作系统移动切换其音频焦点时它将自动运行。

所有应用都可以自定义权限组和权限，方法和系统定义权限是一样的。应用安装时，自定义权限会统一加入到应用权限列表中。

自定义的权限组合权限，使用方法和系统权限一样，如下：

通常，权限失效会导致SecurityException，但不能保证每个地方都是这样，尤其是四大组件中使用到Permission机制。例如， sendBroadcast(Intent)方法在数据传递到每个接收者时会检查权限，在方法调用返回后，即使权限失效，您也不会收到异常，比如：

6.1 google AndroidM 前的权限管理机制混乱

google 在 Android M 之前，即 Android KITKAT(4.4, API level 19)推出了一套应用程序操作权限管理AppOps。AppOps所管理的是所有可能涉及用户隐私和安全的操作，包括 access notification，keep weak lock，activate vpn，display toast 等等，有些操作是不需要 Manifest 里申请权限的。

AppOps 是 Google 原生 Android 包含的功能，但是 Google 在后续版本更新时都会隐藏掉 AppOps 的入口。

直到 AndroidM 加入 Application Permission Manage 的功能（该功能基于 AppOps实现，进一步做了动态请求封装和明确的规范），AppOps 都在各 Android 厂商中以不同形式发挥着形式各异的能量。部分厂商可以通过“安全管家”管理危险权限。部分厂商通过安装过程和权限设置页管理权限。不同厂商能管理的权限列表项各有不同。

这种情况，我们的兼容方案是：根据系统版本在 API19-23 之间的版本做特殊处理，通过反射调用AppOpsManager 的 checkOp 来检测对应的权限是否已经授权，如果没有的话，直接提示用户去“应用权限设置”或“安全管家”中打开权限才能正常使用功能。

6.2 google AndroidM 动态权限请求方式不统一

例如，悬浮窗和系统设置两个动态权限的检测和请求方式都各有一套，和标准的请求方式不同。

这种情况，我们的兼容方案时，不要将这两个权限和其它权限放在一个时机，或一个方法中去请求，在其它权限组请求流程结束后，或开始前，单独请求这两个权限。

6.3 应用权限设置界面和安全管家权限不同步

例如，小米 3 申请权限的时候，拒绝权限，应用详情中的设置和安全中心的权限都会变成拒绝。这时在“应用权限设置”中修改权限为允许，这时“安全管家”还是显示未授权，但应用检测权限状态是允许，但是拿不到数据。

即，应用权限设置和应用获取权限的状态是一致的，但是“安全管家”和结果的状态是一样的。

这种情况，我们的兼容方案是：如果某个权限检测是已经授权，通过手机厂商 ROM 版本做特殊兼容。如果是硬件功能，尝试启动硬件，如果启动成功，则表示确实是授权了的，否则提示用户在“应用权限设置”或“安全管家”中打开权限。

如果是接口类型，则尝试获取数据，如果数据为空，或异常，则提示用户在“应用权限设置”或“安全管家”中打开权限。

6.4 错误的权限状态

例如，小米 3，如果第一次拒绝了权限，再去应用设置中打开权限，这时应用检测到权限已经被授权，但实际并没有权限，即对应接口没有返回正确的数据。

用户拒绝过授权, 或系统接口判断为已经授权，但实际上没有授权的，这在动态权限刚推出来的版本上，出现的概率挺高。

这种情况，我们的兼容方案是：给对应的 Android 版本，小米 ROM 版本做适配，如果权限授权，但接口不能返回数据，提示用户在“应用权限设置”或“安全管家”中打开权限。

6.5 不标准的动态权限划分

例如，华为 mate8，申请权限 WRITE_SETTINGS 权限，必须是系统应用(系统签名权限)，但是有些旧版本的手机，这个权限普通应用是可以使用的。

这种情况，应用应该尽量避免使用到这种权限，因为这个权限影响的功能，在这个手机上必然无法实现。通过其它的途径达到目标，或者在特定设备上放弃此功能。

6.6 不标准的动态权限请求流程

例如，魅族手机的某些版本，权限请求框没有“不再提醒”的勾选框，默认只跳一次权限请求框。

例如，小米某版本第一次跳出请求权限框没有“不再提醒”的勾选框，第二次_=B7_请求权限框就会显示“不再提醒”的勾选框。（android 默认机制）但是有些版本，只要有跳请求权限框，都会有“不再提醒”的勾选框。

例如，vivo、oppo、魅族的 6.0 以上部分版本，被厂商修改了 6.0 系统申请机制，他们修改成系统自动申请权限了。也就是说这些系统会跟以前 6.0 以下的版本一样，需要用到权限的时候系统会自动申请，就算我们主动申请也是不会跳出权限请求框。

这种情况，遵循厂商系统设计，应用没有好的办法去统一请求流程。

6.7 厂商系统自定义动态权限

例如，Android Kitkat(Api 19)的国产 ROM 上会提示“应用读取运动数据权限”的系统弹窗，但是 Android API 中没有相关的 Sensor 的权限定义(Google 在后来的 Api 20 版本中添加到动态权限中了)，即无法在AndroidManifest 中定义，也无法检查这个权限。

系统会在我们相关权限调用接口时，自动跳出权限请求框。如果用户选择了拒绝，APP 就收不到系统的回调了。

国内部分厂商比如华为、oppo，Vivo，他们将“读取应用程序列表”的权限暴露给了用户，让用户可以自由决定允许或者禁止应用访问该信息。

例如，华为 Mate8，AndroidM, 系统会跳出“读取应用程序列表”的权限请求框，阻断应用流程，等待用户选择。但是 Android 并没有相关权限定义，应用也没有读取应用程序列表，只是调用了 PackageManager相关的一些 API，就是触发这个权限请求。

例如，华为 mate8，AndroidN，系统要求“读取应用程序列表”权限，默认不给，会自动跳出授权请求框（没有此权限，相关接口直接返回空），但是升级到 AndroidO 又变成默认有此权限了（没有此权限只能获取到同一个开发者账号下的应用列表，不会自动跳权限请求框）。

例如，Vivo X20在调用pm.getInstalledPackages 时候弹出“读取已安装应用列表”对话框，允许后也无法获取应用列表，在应用的权限设置界面看，权限的状态是打开的，但是！这里还有一个安全等级选择，分为高、中、低。发现微信安全等级属于低、支付宝属于低，手动将 Demo 的安全等级调整为低，再次启动，没有弹出申请权限对话框，获取到了全部已安装应用列表。

类似的自定义权限，还有桌面快捷方式，锁屏显示，后台弹出界面。

这些情况，因为是厂商定义的，我们无法请求权限和检测权限，只能通过 FAQ 的方式，告知功能异常的用户是否拒绝过这些权限。同时可以从技术和产品层面，考虑是否可以绕过这个权限，实现相应的功能。

6.8 错误的权限请求框跳出与否状态

在实际开发中，很多手机对原生系统做了修改，例如，小米4 AndroidM的shouldShowRequestPermissionRationale就一直返回 false，而且在 Request 申请权限时，如果用户选择了拒绝，则不会再弹出对话框了。

这种情况，只要系统返回不允许跳权限请求框，应用就可以提示用户去“应用权限设置”或“安全管家”中打开权限。

6.9 可以在“应用权限设置”或“安全管家”中将普通权限关闭

在 Google 的权限架构中，普通权限只要在 AndroidManifest 中声明后，就会自动授权，不需要动态请求。

部分厂商可以在“应用权限设置”或“安全管家”中将 ACCESS_NETWORK_STATE，INSTALL_SHORTCUT 等权限关闭，且不能自动跳动态请求框，导致应用无法正常工作。

这种情况，我们会封装网络的调用接口，在调用功能 API 时，先 checkSelfPermission 这个普通权限是否已经授权，如果没有授权，则提示用户是否关闭了对应权限。

6.10 Target API

PermissionUtils对外API分三块，一组是单个权限请求接口，一组是权限检测接口，一组是多权限申请/流程可定制接口：

通过对动态权限的封装，可以将动态权限的兼容问题，检测动态权限，请求动态权限，权限设置跳转问题，实时监听权限设置结果等处理和业务功能隔离开来，业务可以非常简单快速的接入动态权限支持，提高开发效率，复用率，降低兼容性和出错成本。

狐友技术团队其他精彩文章

通过源码对SparkShuffle深入解析Swift之Codable实战技巧不了解GIF的加载原理？看我就够了！

获取更多资讯请关注微信公众号【搜狐技术产品】，微信后台联系搜狐技术产品小助手。