• Home
  • Line#
  • Scopes#
  • Navigate#
  • Raw
  • Download
1# 应用特权配置指南
2
3应用特权是指应用所具备的一些高等级的特殊能力,比如限制应用不可被卸载、应用内数据不可被删除等。
4
5OpenHarmony提供通用的应用特权和可由设备厂商针对不同设备单独配置的应用特权。
6
7> **说明:**
8> - 应当注意不要滥用应用特权,避免造成用户反感甚至对用户造成侵权。
9> - 直接修改应用Profile文件的方式,仅用于应用/服务调试阶段使用,不可用于发布上架应用市场。如果需要开发商用版本的应用,请在对应的应用市场进行发布证书和Profile文件的申请。
10
11## 通用应用特权
12
13### 简介
14
15通用的应用特权是指应用在不同设备类型上都可以获得的特权,可分为以下几种:
16
17| 权限 | 描述                                                       |
18| ---------------- | ------------------------------------------------------------ |
19| AllowAppDataNotCleared | 是否允许应用数据被删除 |
20| AllowAppMultiProcess | 是否允许应用多进程 |
21| AllowAppDesktopIconHide | 是否允许隐藏桌面图标 |
22| AllowAbilityPriorityQueried | 是否允许Ability配置查询优先级     |
23| AllowAbilityExcludeFromMissions | 是否允许Ability不在任务栈中显示 |
24| AllowAppUsePrivilegeExtension | 是否允许应用使用ServiceExtension、DataExtension |
25| AllowFormVisibleNotify | 是否允许桌面卡片可见 |
26
27### 配置方式
28
291. 在[HarmonyAppProvision文件](../../application-dev/security/app-provision-structure.md)中添加字段”app-privilege-capabilities“,按需配置通用权限能力。
302. 使用签名工具对HarmonyAppProvision文件重新签名,生成p7b文件
313. 使用p7b文件签名hap
32
33参考:[应用签名](https://gitee.com/openharmony/developtools_hapsigner#hap%E5%8C%85%E7%AD%BE%E5%90%8D%E5%B7%A5%E5%85%B7 )
34
35### 示例
36
37```
38{
39    "version-name": "1.0.0",
40    ...
41    "bundle-info": {
42        "developer-id": "OpenHarmony",
43        ...
44    },
45    "issuer": "pki_internal",
46    "app-privilege-capabilities": ["AllowAppDataNotCleared", "AllowAppDesktopIconHide"] // 应用的数据不允许被删除且允许隐藏桌面图标
47}
48```
49
50
51
52## 可由设备厂商配置的特权
53
54### 简介
55
56除了通用应用特权外,设备厂商还可以为各类设备额外定义允许配置的特权项,包括:
57
58| 权限                  | 类型     | 默认值 | 描述                                              |
59| --------------------- | -------- | ------ | ------------------------------------------------- |
60| removable             | bool     | true   | 是否允许应用被卸载,仅预置应用生效                |
61| keepAlive             | bool     | false  | 是否允许应用常驻                                  |
62| singleton             | bool     | false  | 是否允许应用安装到单用户下(U0)                    |
63| allowCommonEvent      | string[] | -      | 是否允许静态广播拉起                              |
64| associatedWakeUp      | bool     | false  | 是否允许FA模型应用被关联唤醒                      |
65| runningResourcesApply | bool     | false  | 是否允许应用运行资源申请(CPU、事件通知、蓝牙等) |
66
67### 配置方式
68
69按需在[产品配置文件](https://gitee.com/openharmony/vendor_hihope/tree/master/rk3568/preinstall-config)中配置。
70
71### 示例
72
73#### install_list_capability.json中配置
74
75```
76{
77    "install_list": [
78        {
79            "bundleName": “com.example.kikakeyboard”,
80            "singleton": true, // 应用安装到单用户下
81            "keepAlive": true, // 应用常驻
82            "runningResourcesApply": true, // 运行资源申请(CPU、事件通知、蓝牙等)
83            "associatedWakeUp": true, // FA模型应用被关联唤醒
84            "app_signature" : [“8E93863FC32EE238060BF69A9B37E2608FFFB21F93C862DD511CBAC”], // 当配置的证书指纹和hap的证书指纹一致才生效
85            "allowCommonEvent": [“usual.event.SCREEN_ON”, “usual.event.THERMAL_LEVEL_CHANGED”]
86        },
87}
88```
89
90**证书指纹获取**
91
92**步骤一、证书存放在HarmonyAppProvision文件的distribution-certificate字段下,新建profile.cer文件,将证书的内容拷贝到profile.cer文件中**
93
94示例
95
96```
97{
98    ...
99    "bundle-info": {
100        "distribution-certificate": "-----BEGIN CERTIFICATE----\nMIICMzCCAbegAwIBAgIEaOC/zDAMBggqhkjOPQQDAwUAMk..." /证书的内容
101        ...
102    }
103    ...
104}
105```
106
107**步骤二、将profile.cer内容换行和去掉换行符**
108
109示例
110
111```
112-----BEGIN CERTIFICATE-----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125-----END CERTIFICATE-----
126```
127
128**步骤三、使用keytool工具打印对应的证书指纹**
129
130示例
131
132```
133keytool -printcert -file profile.cer
134result:
135所有者: CN=OpenHarmony Application Release, OU=OpenHarmony Team, O=OpenHarmony, C=CN
136发布者: CN=OpenHarmony Application CA, OU=OpenHarmony Team, O=OpenHarmony, C=CN
137序列号: 68e0bfcc
138生效时间: Tue Feb 02 20:19:31 CST 2021, 失效时间: Fri Dec 31 20:19:31 CST 2049
139证书指纹:
140         SHA1: E3:E8:7C:65:B8:1D:02:52:24:6A:06:A4:3C:4A:02:39:19:92:D1:F5
141         SHA256: 8E:93:86:3F:C3:2E:E2:38:06:0B:F6:9A:9B:37:E2:60:8F:FF:B2:1F:93:C8:62:DD:51:1C:BA:C9:F3:00:24:B5 // 证书指纹,去掉冒号,最终结果为8E93863FC32EE238060BF69A9B37E2608FFFB21F93C862DD511CBAC9F30024B5
142...
143```
144
145
146
147#### install_list.json中配置
148
149```
150{
151     "install_list" : [
152        {
153            "app_dir" : "/system/app/com.ohos.launcher",
154            "removable" : true // 应用是否可卸载
155        }
156     ]
157}
158```
159
160
161
162