鴻蒙OS 權(quán)限概述

基本概念

• 應(yīng)用沙盒

系統(tǒng)利用內(nèi)核保護(hù)機(jī)制來識(shí)別和隔離應(yīng)用資源，可將不同的應(yīng)用隔離開，保護(hù)應(yīng)用自身和系統(tǒng)免受惡意應(yīng)用的攻擊。默認(rèn)情況下，應(yīng)用間不能彼此交互，而且對系統(tǒng)的訪問會(huì)受到限制。例如，如果應(yīng)用 A（一個(gè)單獨(dú)的應(yīng)用）嘗試在沒有權(quán)限的情況下讀取應(yīng)用 B 的數(shù)據(jù)或者調(diào)用系統(tǒng)的能力撥打電話，操作系統(tǒng)會(huì)阻止此類行為，因?yàn)閼?yīng)用 A 沒有被授予相應(yīng)的權(quán)限。

• 應(yīng)用權(quán)限

由于系統(tǒng)通過沙盒機(jī)制管理各個(gè)應(yīng)用，在默認(rèn)規(guī)則下，應(yīng)用只能訪問有限的系統(tǒng)資源。但應(yīng)用為了擴(kuò)展功能的需要，需要訪問自身沙盒之外的系統(tǒng)或其他應(yīng)用的數(shù)據(jù)（包括用戶個(gè)人數(shù)據(jù)）或能力；系統(tǒng)或應(yīng)用也必須以明確的方式對外提供接口來共享其數(shù)據(jù)或能力。為了保證這些數(shù)據(jù)或能力不會(huì)被不當(dāng)或惡意使用，就需要有一種訪問控制機(jī)制來保護(hù)，這就是應(yīng)用權(quán)限。

應(yīng)用權(quán)限是程序訪問操作某種對象的許可。權(quán)限在應(yīng)用層面要求明確定義且經(jīng)用戶授權(quán)，以便系統(tǒng)化地規(guī)范各類應(yīng)用程序的行為準(zhǔn)則與權(quán)限許可。

• 權(quán)限保護(hù)的對象

權(quán)限保護(hù)的對象可以分為數(shù)據(jù)和能力。數(shù)據(jù)包含了個(gè)人數(shù)據(jù)（如照片、通訊錄、日歷、位置等）、設(shè)備數(shù)據(jù)（如設(shè)備標(biāo)識(shí)、相機(jī)、麥克風(fēng)等）、應(yīng)用數(shù)據(jù)；能力包括了設(shè)備能力（如打電話、發(fā)短信、聯(lián)網(wǎng)等）、應(yīng)用能力（如彈出懸浮框、創(chuàng)建快捷方式等）等。

• 權(quán)限開放范圍

權(quán)限開放范圍指一個(gè)權(quán)限能被哪些應(yīng)用申請。按可信程度從高到低的順序，不同權(quán)限開放范圍對應(yīng)的應(yīng)用可分為：系統(tǒng)服務(wù)、系統(tǒng)應(yīng)用、系統(tǒng)預(yù)置特權(quán)應(yīng)用、同簽名應(yīng)用、系統(tǒng)預(yù)置普通應(yīng)用、持有權(quán)限證書的后裝應(yīng)用、其他普通應(yīng)用，開放范圍依次擴(kuò)大。

• 敏感權(quán)限

涉及訪問個(gè)人數(shù)據(jù)（如：照片、通訊錄、日歷、本機(jī)號(hào)碼、短信等）和操作敏感能力（如：相機(jī)、麥克風(fēng)、撥打電話、發(fā)送短信等）的權(quán)限。

• 應(yīng)用核心功能

一個(gè)應(yīng)用可能提供了多種功能，其中應(yīng)用為滿足用戶的關(guān)鍵需求而提供的功能，稱為應(yīng)用的核心功能。這是一個(gè)相對寬泛的概念，本規(guī)范用來輔助描述用戶權(quán)限授權(quán)的預(yù)期。用戶選擇安裝一個(gè)應(yīng)用，通常是被應(yīng)用的核心功能所吸引。比如導(dǎo)航類應(yīng)用，定位導(dǎo)航就是這種應(yīng)用的核心功能；比如媒體類應(yīng)用，播放以及媒體資源管理就是核心功能，這些功能所需要的權(quán)限，用戶在安裝時(shí)內(nèi)心已經(jīng)傾向于授予（否則就不會(huì)去安裝）。與核心功能相對應(yīng)的是輔助功能，這些功能所需要的權(quán)限，需要向用戶清晰說明目的、場景等信息，由用戶授權(quán)。既不屬于核心功能，也不是支撐核心功能的輔助功能，就是多余功能。不少應(yīng)用存在并非為用戶服務(wù)的功能，這些功能所需要的權(quán)限通常被用戶禁止。

• 最小必要權(quán)限

保障應(yīng)用某一服務(wù)類型正常運(yùn)行所需要的應(yīng)用權(quán)限的最小集，一旦缺少將導(dǎo)致該類型服務(wù)無法實(shí)現(xiàn)或無法正常運(yùn)行的應(yīng)用權(quán)限。

運(yùn)作機(jī)制

系統(tǒng)所有應(yīng)用均在應(yīng)用沙盒內(nèi)運(yùn)行。默認(rèn)情況下，應(yīng)用只能訪問有限的系統(tǒng)資源。這些限制是通過 DAC（Discretionary Access Control）、MAC（Mandatory Access Control）以及本文描述的應(yīng)用權(quán)限機(jī)制等多種不同的形式實(shí)現(xiàn)的。因應(yīng)用需要實(shí)現(xiàn)其某些功能而必須訪問系統(tǒng)或其他應(yīng)用的數(shù)據(jù)或操作某些器件，此時(shí)就需要系統(tǒng)或其他應(yīng)用能提供接口，考慮到安全，就需要對這些接口采用一種限制措施，這就是稱為“應(yīng)用權(quán)限”的安全機(jī)制。

接口的提供涉及到其權(quán)限的命名和分組、對外開放的范圍、被授予的應(yīng)用、以及用戶的參與和體驗(yàn)。應(yīng)用權(quán)限管理模塊的目的就是負(fù)責(zé)管理由接口提供方（訪問客體）、接口使用方（訪問主體）、系統(tǒng)（包括云側(cè)和端側(cè)）和用戶等共同參與的整個(gè)流程，保證受限接口是在約定好的規(guī)則下被正常使用，避免接口被濫用而導(dǎo)致用戶、應(yīng)用和設(shè)備受損。

約束與限制

• 同一應(yīng)用自定義權(quán)限個(gè)數(shù)不能超過 1024 個(gè)。
• 同一應(yīng)用申請權(quán)限個(gè)數(shù)不能超過 1024 個(gè)。
• 為避免與系統(tǒng)權(quán)限名沖突，應(yīng)用自定義權(quán)限名不能以 ohos 開頭，且權(quán)限名長度不能超過 256 字符。
• 自定義權(quán)限授予方式不能為 user_grant。
• 自定義權(quán)限開放范圍不能為 restricted。含義見[表2]。