Android AccountManager: peekAuthToken

Question

我已经在Android中实现了一个帐户管理器，我在应用程序中经常使用peekAuthToken来获取令牌。

但在源代码中，我有点困惑，在文档中写着：

供验证者使用，而不是由应用程序直接使用。

为什么是这样，使用这种方法获取authToken会有什么问题呢？

Answer 1

在提供auth令牌之前，peekAuthToken内部检查两个uids是否相等：

• 请求令牌的应用程序的uid。
• 提供身份验证IBinder的应用程序的uid (即管理帐户的uid )。

如果uids不同，您将得到一个SecurityException。

换句话说，如果您将身份验证服务随应用程序的其余部分一起发送，您应该会没事的。(虽然我仍然推荐使用getAuthToken )。但是，如果您要在一个应用程序中发送身份验证程序，并且希望在另一个应用程序中调用peekAuthToken，那么这是行不通的。

base/blob/4535e11fb7010f2b104d3f8b3954407b9f330e0f/services/core/java/com/android/server/accounts/AccountManagerService.java#L1544