当前位置:主页 > 移动开发 > Android代码 >

Android端权限隐私的合规化处理实战记录

时间:2022-03-14 10:04:50 | 栏目:Android代码 | 点击:

是什么

对客户端而言,权限隐私可分为权限和隐私两个大的方面。

为什么

具体实践

一.Android各版本对权限的适配处理

1.1 早期的注册权限

Android6.0(SDK版本为23)之前的版本,安装App页面会列出当前app所注册的所有权限,无同意与否按钮,只有安装和取消,开发App时只需要在清单文件中注册所需的对应权限即可:

<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />
<uses-permission android:name="android.permission.CAMERA" />

1.2 动态权限授予

Android自6.0(SDK版本为23)开始,将权限分为普通权限,危险权限,特殊权限。而其中的危险权限需要在调用某些系统方法之前需要用户手动授予对应权限,包括PHONE,LOCATION,STORAGE等多个权限组。如果在没授权的情况下直接调用相关方法,就会抛出,应用也随之崩溃。报错信息类似下方这种:

java.lang.SecurityException: getDeviceId: has android.permission.READ_PHONE_STATE.

而要解决以上的报错问题,可以自行封装权限处理类工具,也可使用一些开源的权限工具进行处理。核心代码都逃不过:

//判断某个权限是否已经被同意
ContextCompat.checkSelfPermission(context, perm) ==  PackageManager.PERMISSION_GRANTED)
//请求某个权限,调用后会弹出权限系统弹窗
ActivityCompat.requestPermissions((Activity) object, perms, requestCode);

注:如果用户拒绝权限且不让再次显示系统权限授权弹窗的话,最好是提供端内可点击进入手机系统的权限设置页面以让用户可以选择开启对应权限。

1.3 READ_PHONE_STATE权限的变化

1.3.1 演变

@RequiresPermission(android.Manifest.permission.READ_PRIVILEGED_PHONE_STATE)
public String getDeviceId()
@RequiresPermission(android.Manifest.permission.READ_PRIVILEGED_PHONE_STATE)
public String getImei()

1.3.2 适配处理

清单文件中设定使用READ_PHONE_STATE权限最高为28,即Android10以上的设备不进行该权限的获取。

<uses-permission
    android:name="android.permission.READ_PHONE_STATE"
    android:maxSdkVersion="28"/>

1.4 存储分区的处理

自Android10.0之后,Google开始采用存储分区,主要目的是改变现有App胡乱使用手机存储导致垃圾和其他安全问题。适配 Android11 后强制使用存储分区。具体分区如下,扩展的外部存储是无权限进行读取的。而其他私有存储会在App卸载后清理掉:

具体部分代码改动如下:

1.拍照存储路径:

Environment.getExternalStorageDirectory().getAbsolutePath()修改为getExternalFilesDir(Environment.DIRECTORY_DCIM)

2.原本的存储路径 /storage/emulated/0 改为 /storage/emulated/0/Android/data
具体调用的修改为:
Environment.getExternalStorageDirectory()改为context.getExternalFilesDir() ;

3.如果App在sdcard中有重要存储,可以在适配android10.0的过渡阶段将之前的数据复制出来到新的存储分区中。

二.隐私信息合规化处理

上半部分较为粗略的过了一下权限相关的部分改动和对应修改,接下来说一说隐私信息的合规化处理。当然,权限作为隐私处理的前提,如果权限都没有合理的修改完毕,那隐私处理合规化更谈不上了,毕竟很多隐私是依赖于权限的。

2.1 隐私信息获取告知的直接化和透明化

2.2 隐私信息获取和传输的安全化

2.3 部分隐私Api调用的严格化

三.遇到的一些问题和坑

这里总结部分在开发过程中遇到的一些隐蔽小点,希望能帮助到大家。

总结

权限隐私的发展趋势只会越来越严格和规范。在日常的客户端开发当中,我们就需要时刻持有隐私安全的意识,让自己站在用户的角度上合理的保证隐私安全。并紧跟隐私安全的发展,提前布局。这样才能不至于临时出问题后手忙脚乱的去处理。

您可能感兴趣的文章:

相关文章