[置顶] 浅析android中的权限管理--用户安装的apk的uid,gid是如何分配的

Android的开发者一般分为两类，一类是做framework开发，一类是做第三方APP开发。两者最大的区别就是能够使用到的系统权限不一样。网上也有好多关于如何获得root权限的讨论和文章。我这里就不讨论这些了。主要还是从Android framework的设计出发，从代码中看看Android是如何给各种用户设定不同的uid,如何管理它们的。

当用户点击一个APK时或是从market下载了一个APK后, 通常是触发一个Intent, 然后最总交由PackageManagerService.java来负责。该文件可能是真个android framework中最长的一个文件之一了，它的类的注释，强调了它的重要性！！！警告说任何改动之后，都需要运行针对该类的所有UT。（还有一个ActivityManagerService.java的文件更长！！！）

先来看看它的构造函数:

    1. 初始化了Settings相关的一些数据（uid, gid的初始值等等）

    2. 初始化了Installer(mydroid/frameworks/base/services/java/com/android/server/Installer.java), 这个是一个与jni相关的真正做install事情的接口(它是installd这个daemon).

    3. 初始化并check以下的关键数据:boot class, dexopt相关操作

    4. 处理base frameworks, system packages, vendor packages

    5. 处理已经安装的apk及上一次启动以来没有完成的apk。

    6. 处理如果上一次启动之间发生了系统升级，如果permission有变化需要更新

接着就来看看负责安装的installd daemon。

    它的代码在：mydroid/frameworks/base/cmds/installd

    从install.c中可以看出它接收的都是从上面所说的java层的Installer.java发来的cmds。真正的各条命令的实现参见commands.c。

   代码比较清晰易懂。其中关于dexopt相关的操作，就需要去看dalvik下关于dexopt的相关代码了。这个就比较复杂了，需要参看我后面会写的关于dalvik的文章。

分析上述过程之后，有以下几个疑问：

    中间多次看到跟encryption相关的字眼，不太确定哪里需要encryption？

        猜测是后续版本会支持对某些目录支持原生的加密如/system/（system.img）等等。

各个新安装的应用程序的uid和gid是如何获得的？

    是由PackageManagerService在调用installd时传递过去的。而具体每个apk所分配的uid, gid（包括SharedId这个属性）都是在PackageManagerService由动态的一个Setting来管理并维护。初始是从10000开始（参见Process.java中的FIRST_APPLICATION_UID定义）。

    实际上分配给apk的linux下看到的uid, gid都是最终当用户点击启动该apk后，由dalvik的zygote来进行的。详细需要参看与dalvik相关分析的文章。

最后，当然还可以通过ADB的install命令(当然ant的install也是最终调用adb install来完成的). adb是通过socket把host与client之间联系起来的.具体可参考另外一片关于我对ADB分析的文章.