Android Service 访问安全

《Application Security for the Android Platform》55页说到service的安全
1
startService(new Intent(this,MyService.class))
这种内部自己调用的是无视权限各种限制的，后面的自定义权限这这种没影响。
如果service没有  <intent-filter />属性，那么任何其他非当前应用都无法使用该service，一用就报权限错误（就算你给service弄了自定义的权限，然后调用其的应用也有该自定义的权限依然不行），没有  <intent-filter />就只能给自己用。
然后是  <intent-filter />留空，这样的话随便调用，只要知道具体的class路径
比如
1
Intent i = new Intent();
2
i.setClassName("org.qii.security.three","org.qii.security.three.MyService");
3
startService(i);
之后是在 <intent-filter />留空的情况下提供受限制的共享，就是加自定义权限，只许自己的其他程序用。
自定义权限的name一定是需要一个逗号……不然Android不认，不认也就罢了也不报错……坑爹的
最简单的自定义权限就是这样，当然这wo.cao命名是乱来的，正常来说前面是包名。

1
<permission Android:name="wo.cao"/>
2
<uses-permission Android:name="wo.cao"/>
3

4
   <service Android:name="MyService"
5
            Android:permission="wo.cao">
6
       <intent-filter/>
7
   </service>
其他应用如果要调用这个MyService，必须声明 <uses-permission Android:name="wo.cao"/>，当然自定义权限还有很多选项可以细调，最简单的就是这样了。
没声明权限就去用，就会这样：
1
Caused by: java.lang.SecurityException: Not allowed to start service Intent { cmp=org.qii.security.three/.MyService } without permission wo.cao