ClipboardService（CBS）是Android系統中的元老級服務了，自Android 1.0起就支援剪貼功能。在Android 4.0中再遇見它時，此功能已有了長足改進。本節將集中討論CBS中的許可權管理。先來回顧一下CBS中和許可權管理相關的函式呼叫。

//copy方設定ClipData在CBS的setPrimaryClip函式中進行：
checkDataOwnerLocked(clip, Binder.getCallingUid());
clearActiveOwnersLocked();
//paste方獲取ClipData在CBS的getPrimaryClip函式中進行：
addActiveOwnerLocked(Binder.getCallingUid(), pkg);
 

在分析這3個函式之前，先介紹一下Android系統中的URI許可權管理。

1. URI許可權管理介紹Android系統的許可權管理中有一類是專門針對URI的，先來看一個示例，該例來自package/providers/ContactsProvider，在它的AndroidManifest.xml中有如下宣告：

[-->AndroidManifest.xml]

<provider android:name="ContactsProvider2"
         ......
          android:readPermission="android.permission.READ_CONTACTS"
          android:writePermission="android.permission.WRITE_CONTACTS">
          ......
          <grant-uri-permission android:pathPattern=".*" />
</provider>
 

這裡聲明瞭一個名為ContactsProvider2的ContentProvider，並定義了幾個許可權宣告，下面對其進行解釋。

• readPermission：要求呼叫query函式的客戶端必須宣告一個use-permission為READ_CONTACTS的許可權。
• writePermission：要求呼叫update或insert函式的客戶端必須宣告一個use-permission為WRITE_CONTACTS的許可權。
• grant-uri-permission：和授權有關。

初識grant-uri-permission時，會覺得它比較難理解，下面通過舉例分析幫助讀者加深認識。

• Contacts和ContactProvider這兩個APP都是由系統提供的程式，而且二者關係緊密，所以Contacts一定會宣告use_Permission為READ_CONTACTS和WRITE_CONTACT的許可權。如此，Contacts就可以毫無阻礙地通過ContactsProvider來查詢或更新資料庫了。
• 假設Contacts新增一個功能，將ContactsProvider中的某條資料複製到剪下板。根據前面已介紹過的知識可以知道，Contacts會向剪下板中複製一個URI型別的資料。
• 另外一個程式從剪下板中貼上（paste）這條資料，由於是URI型別的，所以此程式會通過ContentResolver來查詢該uri所指向的資料。但是這個程式卻並未宣告READ_CONTACTS的許可權，所以它查詢資料時必然會失敗。

或許有人會問，為什麼第三個程式不宣告相應許可權呢？原因很簡單，第三個程式不知道自己該宣告怎樣的許可權（除非這兩個程式的開發者能互通訊息）。本例ContactsProvider設定的讀許可權是READ_CONTACTS，以後可能換成READ_CONTACTS_EXTEND，第三個程式不太可能知道其中的變化。為了解決類似問題，Android提供了一套專門針對uri的許可權管理機制。以這套機制解決示例中許可權宣告問題的方法是這樣的：當第三個程式從剪下板中貼上資料時，系統會判斷是否需要為這個程式授權。當然，系統不會隨意授權，而是需要考慮ContactsProvider的情況。因為ContactsProvider聲明瞭grant-uri-permission，所以只要第三個程式所貼上的URI匹配其中的pathPattern，授權就能成功。倘若ContactsProvider沒有宣告grant-uri-permission，或者uri不匹配指定的pathPattern，則授權失敗。

有了前面介紹的許可權管理機制，相信下面CBS中的許可權管理理解起來就比較簡單了。

提示　感興趣的讀者可閱讀SDK安裝目錄下/docs/guide/topics/security/security.html中關於uri Permission的說明部分。

2. checkDataOwnerLocked函式分析

checkDataOwnerLocked函式的程式碼如下：

[-->ClipboardService.java::checkDataDwnerLocked]

private final void checkDataOwnerLocked(ClipData data, int uid) {
      //第二個引數uid為copy方程序的uid
      final int N = data.getItemCount();
      for (int i=0; i<N; i++) {
          //為每一個item呼叫checkItemOwnerLocked
          checkItemOwnerLocked(data.getItemAt(i), uid);
      }
}
// checkItemOwnerLocked函式分析
private final void checkItemOwnerLocked(ClipData.Item item, int uid) {
      if (item.getUri() != null) {//檢查uri
          checkUriOwnerLocked(item.getUri(), uid);
      }
      Intent intent = item.getIntent();
      //getData函式返回的也是一個uri，因此這裡實際上檢查的也是uri
      if (intent != null && intent.getData() != null) {
          checkUriOwnerLocked(intent.getData(), uid);
      }
}

許可權檢查就是針對uri的，因為uri所指向的資料可能是系統內部使用或私密的。例如Setting資料中的Secure表，這裡的資料不能隨意訪問。雖然直接使用ContentResolver訪問這些資料時系統會進行許可權檢查，但是由於目前的剪下板服務也支援URI資料型別，所以這裡也需要做檢查，否則惡意程式就能輕鬆讀取私密資訊。
下邊來分析checkUriOwnerLocked函式，其程式碼如下：

[-->ClipboardService.java::checkUriOwnerLocked]

private final void checkUriOwnerLocked(Uri uri, int uid) {
      ......
      long ident = Binder.clearCallingIdentity();
      boolean allowed = false;
      try {
          /*
            呼叫ActivityManagerService的checkGrantUriPermission函式，
             該函式內部將檢查copy方是否能被賦予URI_READ許可權。如果不允許，
             該函式會拋SecurityException異常
          */
          mAm.checkGrantUriPermission(uid, null, uri, 
                                         Intent.FLAG_GRANT_READ_URI_PERMISSION);
      } catch (RemoteException e) {
      } finally {
          Binder.restoreCallingIdentity(ident);
      }
  }

根據前面的知識，這裡先要檢查copy方是否有讀取uri的許可權。下面來分析paste方的許可權管理。

3. clearActiveOwnersLocked函式分析

clearActiveOwnersLocked函式的程式碼如下：

[-->ClipboardService.java::clearActiveOwnersLocked]

private final void addActiveOwnerLocked(int uid, String pkg) {
      PackageInfo pi;
      try {
         /*
         呼叫PackageManagerService的getPackageInfo函式得到相關資訊
          然後做一次安全檢查，如果PacakgeInfo的uid資訊和當前呼叫的uid不一致，
          則丟擲SecurityException。這個很好理解，因為paste方可以傳遞虛假的
          packagename，但uid是沒法造假的
          */
          pi = mPm.getPackageInfo(pkg, 0); 
          if (pi.applicationInfo.uid != uid) {
              throw new SecurityException("Calling uid " + uid
                      + " does not own package " + pkg);
          }
       } ......
      }
      //mActivePermissionOwners用來儲存已經通過安全檢查的package
      if (mPrimaryClip != null && !mActivePermissionOwners.contains(pkg)) {
          //針對ClipData中的每一個Item，都需要呼叫grantItemLocked來檢查許可權
          final int N = mPrimaryClip.getItemCount();
          for (int i=0; i<N; i++) {
              grantItemLocked(mPrimaryClip.getItemAt(i), pkg);
          }//儲存package資訊到mActivePermissionOwners
          mActivePermissionOwners.add(pkg);
      }
}
//grantItemLocked分析
private final void grantItemLocked(ClipData.Item item, String pkg) {
      if (item.getUri() != null) {
          grantUriLocked(item.getUri(), pkg);
      } //和copy方一樣，這裡僅檢查uri的情況
      Intent intent = item.getIntent();
      if (intent != null && intent.getData() != null) {
          grantUriLocked(intent.getData(), pkg);
      }
}

再來看grantUriLocked的程式碼：

[-->ClipboardService.java::grantUriLocked]

private final void grantUriLocked(Uri uri, String pkg) {
      long ident = Binder.clearCallingIdentity();
      try {
         /*
             呼叫ActivityManagerService的grantUriPermissionFromOwner函式，
             注意第二個引數傳遞的是CBS所在程序的uid。該函式內部也會檢查許可權。
              該函式呼叫成功後，paste方就被授予了對應uri的讀許可權
          */
          mAm.grantUriPermissionFromOwner(mPermissionOwner, 
                                  Process.myUid(), pkg, uri,
                                  Intent.FLAG_GRANT_READ_URI_PERMISSION);
      } catch (RemoteException e) {
      } finally {
          Binder.restoreCallingIdentity(ident);
      }
}

既然有授權，那麼客戶端使用完畢後就需要撤銷授權，這個工作是在setPrimaryClip函式的clearActiveOwnersLocked中完成的。當為剪下板設定新的ClipData時，自然需要將與舊ClipData相關的許可權撤銷。讀者可自行分析clearActiveOwnersLocked函式。
------------------------------

本文節選自《深入理解Android：卷II》第3章“深入理解SystemServer”第3.7.3節：CBS中的許可權管理。

【內容簡介】

本書是“深入理解Android”系列的第二本，第一本書上市後得到了廣大讀者的高度評價，在Android開發者社群內口口相傳。本書不僅繼承了第一本的優點、改正了其在細微處存在的一些不足，而且還在寫作的總體思想上進行了創新，更強調從系統設計者的角度去分析Android系統中各個模組內部的實現原理和工作機制。從具體內容上講，本書的重點是Android Framework的Java層，對Java層涉及的核心模組和服務進行了深入而細緻的分析。通過本書，讀者不僅能對Android系統本身有更深入的理解，而且還能掌握分析大型複雜原始碼的能力。

全書共8章：第1章介紹了閱讀本書所需要做的準備工作，包括Android 4.0原始碼的下載和編譯、Eclipse環境的搭建，以及Android系統程序（system_process）的除錯等；第2章對Java Binder和MessageQueue的實現進行了深入分析；第3章詳細剖析了SystemServer的工作原理，這些服務包括EntropyService、DropboxManagerService、DiskStatsService、DeviceStorageMonitorService、SamplingProfilerService和ClipboardService；第4章對系統中負責Package資訊查詢和APK安裝、解除安裝、更新等工作的服務PackageManagerService進行了詳細分析；第5章則對Android系統中負責電源管理的核心服務 PowerManagerService的原理進行了一番深入的分析；第6章以ActivityManagerService為分析重點，對它的啟動、Activity的建立和啟動、BroadcastReceiver的工作原理、Android中的程序管理等內容展開了較為深入的研究；第7章對ContentProvider的建立和啟動、SQLite、Cursor query和close的實現等進行了深入分析；第8章以ContentService和AccountManagerService為分析物件，介紹了資料更新通知機制的實現，以及賬戶管理和資料同步等相關知識。

【作者簡介】

鄧凡平，資深Android開發工程師和系統工程師，熱衷於Android原始碼的研究，對Android的架構設計和實現原理有非常深刻的認識和理解，應用開發經驗也十分豐富。《深入理解Android：卷I》的作者，同時也是“深入理解Andriod”系列圖書的總策劃。目前就職於國內領先的Android企業中科創達（ThunderSoft），負責Android Framework的開發和維護。喜歡鑽研，樂於分享，活躍於CSDN、51CTO和開源中國等專業技術社群，撰寫的Android Framework原始碼分析的系列文章深受讀者歡迎。此外，他對Linux核心、C/C++/Python相關的技術，以及高效能網路伺服器和多核並行開發等也有一定的研究。

【關於本書的各種網址】