Android教程網 >> Android技術 >> 關於Android編程 >> Binder IPC的權限控制詳細教程

Binder IPC的權限控制詳細教程

編輯：關於Android編程

基於Android 6.0的源碼剖析，分析Binder IPC通信的權限控制方法clearCallingIdentity和restoreCallingIdentity的原理和用途。

/frameworks/base/core/java/android/os/Binder.java
/frameworks/base/core/jni/android_util_Binder.cpp
/frameworks/native/libs/binder/IPCThreadState.cpp

一、概述

在Binder系列中通過十篇文章，深入探討了Android M的Binder IPC機制。看過Android系統源代碼的朋友，一定看到過Binder.clearCallingIdentity()和Binder.restoreCallingIdentity()這兩個方法，其定義在Binder.java文件：

//作用是清空遠程調用端的uid和pid，用當前本地進程的uid和pid替代；
public static final native long clearCallingIdentity();
//作用是恢復遠程調用端的uid和pid信息，正好是`clearCallingIdentity`的反過程;
public static final native void restoreCallingIdentity(long token);

這兩個方法涉及的uid和pid，每個線程都有自己獨一無二的IPCThreadState對象，記錄當前線程的pid和uid，可通過方法Binder.getCallingPid()和Binder.getCallingUid()獲取相應的pid和uid。

clearCallingIdentity(), restoreCallingIdentity()這兩個方法使用過程都是成對使用的，這兩個方法配合使用，用於權限控制檢測功能。

二、原理

從定義這兩個方法是native方法，通過Binder的JNI調用，在android_util_Binder.cpp文件中定義了native方法所對應的jni方法。

2.1 clearCallingIdentity

[–>android_util_Binder.cpp]

static jlong android_os_Binder_clearCallingIdentity(JNIEnv* env, jobject clazz)
{
    //調用IPCThreadState類的方法執行
    return IPCThreadState::self()->clearCallingIdentity();
}

[–>IPCThreadState.cpp]

int64_t IPCThreadState::clearCallingIdentity()
{
    int64_t token = ((int64_t)mCallingUid<<32) | mCallingPid;
    clearCaller();
    return token;
}

void IPCThreadState::clearCaller()
{
    mCallingPid = getpid(); //當前進程pid賦值給mCallingPid
    mCallingUid = getuid(); //當前進程uid賦值給mCallingUid
}

mCallingUid(記為UID)，保存Binder IPC通信的調用方進程的Uid；
mCallingPid(記為PID)，保存Binder IPC通信的調用方進程的Pid；

UID和PID是IPCThreadState的成員變量，都是32位的int型數據，通過移位操作，將UID和PID的信息保存到token，其中高32位保存UID，低32位保存PID。然後調用clearCaller()方法將當前本地進程pid和uid分別賦值給PID和UID，最後返回token。

2.2 restoreCallingIdentity

[–>android_util_Binder.cpp]

static void android_os_Binder_restoreCallingIdentity(JNIEnv* env, jobject clazz, jlong token)
{
    //token記錄著uid信息，將其右移32位得到的是uid
    int uid = (int)(token>>32);
    if (uid > 0 && uid < 999) {
        //目前Android中不存在小於999的uid，當uid<999則拋出異常。
        char buf[128];
        jniThrowException(env, "java/lang/IllegalStateException", buf);
        return;
    }
    //調用IPCThreadState類的方法執行
    IPCThreadState::self()->restoreCallingIdentity(token);
}

[–>IPCThreadState.cpp]

void IPCThreadState::restoreCallingIdentity(int64_t token)
{
    mCallingUid = (int)(token>>32);
    mCallingPid = (int)token;
}

從token中解析出PID和UID，並賦值給相應的變量。該方法正好是clearCallingIdentity的反過程。

三、用途

3.1 場景分析

場景：首先線程A通過Binder遠程調用線程B，然後線程B通過Binder調用當前線程的另一個service或者activity之類的組件。

分析：

線程A通過Binder遠程調用線程B：則線程B的IPCThreadState中的mCallingUid和mCallingPid保存的就是線程A的UID和PID。這時在線程B中調用Binder.getCallingPid()和Binder.getCallingUid()方法便可獲取線程A的UID和PID，然後利用UID和PID進行權限比對，判斷線程A是否有權限調用線程B的某個方法。
線程B通過Binder調用當前線程的某個組件：此時線程B是線程B某個組件的調用端，則mCallingUid和mCallingPid應該保存當前線程B的PID和UID，故需要調用clearCallingIdentity()方法完成這個功能。當線程B調用完某個組件，由於線程B仍然處於線程A的被調用端，因此mCallingUid和mCallingPid需要恢復成線程A的UID和PID，這是調用restoreCallingIdentity()即可完成。

binder_clearCallingIdentity

一句話：圖中過程2（調用組件2開始之前）執行clearCallingIdentity()，過程3（調用組件2結束之後）執行restoreCallingIdentity()。

3.2 類比分析

看完場景分析，估計還有不少朋友感到迷惑，為何需要這兩個方法來多此一舉，直接檢測最初調用端的權限不就行了嗎？為了更加形象明了地說明其用途，下面用一個生活中的場景來類比說明。

場景：假如你的朋友請你幫忙，給她(他)到你的公司以內部價購買公司的某個產品。

分析：這個過程分為兩個階段

binder_clearCallingIdentity_2

第一階段：你的朋友請你幫忙的過程，這個過程並不一定所有朋友都會幫的，這時就需要一個權限檢測，那麼在你的朋友”遠程調用”你執行任務時，你會記錄他的”Identity”信息（比如是性別），有了信息那麼就可以權限檢測，不妨令權限規則是如果這個朋友是女性則答應幫忙，否則就認定權限不夠拒絕執行（可能黑客會想到先去一趟泰國，權限控制可能相應需要打補丁了），若答應幫忙則進入第二階段，否則直接返回。
第二階段：你向自己所在公司的相關部門內購產品的過程，這個過程也並不是所有人都能權限能夠內購的，只有自己公司的員工才行，否則你的朋友也不會找你幫忙了。這個過程同樣需要權限檢測，但是”Identity”保存的是性別女的信息，公司內購產品如果也以性別來判斷，那豈不是公司的所有男員工沒有權限內購，那這公司就有點太坑了，這明顯不符合實情。 clearCallingIdentity()是時候該登場了，在第二階段開始之前，先執行clearCallingIdentity()過程，也就是把”Identity”信息清空，替換為你的信息（比如員工編碼ITCode之類的），那公司相關部門通過ITCode就可以直接判斷是否允許內購某產品。當第二階段完成後，也就是你已經購買到了公司產品，這時你需要將產品交付給你的朋友，需要restoreCallingIdentity，恢復”Identity”為女的信息，這樣就嗯呢該順便交付給你的女朋友。如果不恢復信息，還是原來的ITCode，你交付的朋友可能是男的，另有其人，這樣就不科學了。

相信到此，大家應該都能明白這兩個方法的作用，缺一不可，而且要成對出現。

3.3 實例分析

上述過程主要在system_server進程的各個線程中比較常見（普通的app應用很少出現），比如system_server進程中的ActivityManagerService子線程，代碼如下：

[–>ActivityManagerService.java]

@Override
public final void attachApplication(IApplicationThread thread) {
    synchronized (this) {
        //獲取遠程Binder調用端的pid
        int callingPid = Binder.getCallingPid();
        //清除遠程Binder調用端uid和pid信息，並保存到origId變量
        final long origId = Binder.clearCallingIdentity();
        attachApplicationLocked(thread, callingPid);
        //通過origId變量，還原遠程Binder調用端的uid和pid信息
        Binder.restoreCallingIdentity(origId);
    }
}

文章startService流程分析中有講到attachApplication()的調用。該方法一般是system_server進程的子線程調用遠程進程時使用，而attachApplicationLocked方法則是在同一個線程中，故需要在調用該方法前清空遠程調用者的uid和pid，調用結束後恢復遠程調用者的uid和pid。

上一頁:startService啟動過程分析詳細教程
下一頁:Pm命令用法詳解

關於Android編程

Android編程入門 Android技術基礎 Android資訊關於Android編程 Android開發 Android開發環境 Android開發實例

相關文章