android:验证意图发送者的身份

Question

我在一家生产多个应用程序的公司工作，并不是所有的应用程序都有相同的签名或更多类似的签名，我们目前至少有5-6个应用程序证书。

我们试图创建一种机制，让公司在同一设备上的所有应用程序共享相同的ID，例如，如果用户从市场安装了App A，但没有安装应用程序，则会生成一个新的id，如果他现在安装了app A，则App B应该与app A具有相同的id(id只是一个生成的UUID类型#4)，等等……

我们目前正在使用广播，只有拥有我们权限的应用程序才能接收该广播，并通过另一个广播发回id (这次是显式的)。广播和响应受我们的许可和签名级别的保护，这当然没有帮助，因为我们有多个签名。

我试着写一个意图广播和恢复，它可以有自己的保护机制，不仅限于一个签名，而是几个签名，问题是像Binder.getSenderUID()这样的东西不适用于广播，而我有自己的uid。看起来我没有办法获得我的snder的身份，除非他自己在intent中写上他的id，这是我不能信任的东西，因为它很容易被伪造。使用加密需要应用程序附带密钥，而密钥不再安全，转向服务器进行验证需要太多时间，而且在移动设备上不能保证成功，因为不能100%确定周围是否有网络。

谁知道如何从一个应用程序到另一个应用程序获得验证\安全消息？(我的所有应用程序，但可能有不同的签名)。

Answer 1

抱歉，回复晚了.

绑定需要时间，更重要的是，它是异步的。然而，有一种方法可以进行同步绑定--当然，假设您尝试联系的服务在此时已经启动。Android允许更多的BroadcastReceivers (它们本质上是异步的，因此不能使用普通的bindService) BroadcastReceiver有一个"peekService“方法。

如果您想在不收听广播的情况下使用它，您可以执行以下操作：

final IBinder[] b = new IBinder[1];
new BroadcastReceiver() { 
    public void onReceive(Context context, Intent intent) {
        b[0] = peekService(context, intent);
    }
}.onReceiver(context, intent);

IMyInterface i = IMyInterface.Stub.asInterface(b[0);

请注意，您没有绑定到该服务，因此请确保在每次使用时都要偷看一下。

Answer 2

像往常一样，在这里有一个具有挑战性的问题，如果有的话，我从来没有得到过合适的答案！答案，所以我不得不自己去找。

Intents的问题是不可能获得发送者，因为在一个发送者地址并不重要的网络中，他们是多播的并行。

如果我希望获得snder的UID，我需要创建一个“远程”进程，即使他在本地，我也需要使用AIDL来实现IBInder，而不是使用broadcast IPC。一旦我有了一个绑定器对象，我就可以在我的服务getCallingUid()中调用并获得调用者的uid，这将允许我请求PackageManager给我它的公共证书(而不是询问进程本身，我会询问操作系统)，并将其与我预先在apk中准备的一组证书进行比较。

另一端的调用应用程序(向我发送ID的另一个进程)只需使用bindService(service，conn，flags)方法绑定到我。这种方法的缺点当然是耗时的过程，绑定需要时间，它是一个通过内核的异步调用，并且没有绑定到本地服务那么快。此外，因为我可能有几个应用程序，所以我需要同步访问我的内部ID，所以只有第一个没有失败的绑定调用会为我设置ID。我仍然需要检查是否可以使用Messanger方法来防止多线程问题。

希望这对其他人有所帮助。

Answer 3

如前所述，绑定可能是最好的解决方案。但是，您可以考虑切换到Activity而不是BroadcastReceiver，然后可以使用getCallingActivity()，假设您是用startActivityForResult()启动的。

按如下方式声明您的活动，使其像BroadcastReceiver一样“静默”：

<activity
    android:name=".FauxReceiver"
    android:theme="@android:style/Theme.NoDisplay" 
    android:excludeFromRecents="true"
    android:noHistory="true"
>
    <intent-filter>
        ...
    </intent-filter>
</activity>

灵感来源：How to get the sender of an Intent?