1# DataAbility权限控制 2<!--Kit: Ability Kit--> 3<!--Subsystem: Ability--> 4<!--Owner: @xialiangwei--> 5<!--Designer: @jsjzju--> 6<!--Tester: @lixueqing513--> 7<!--Adviser: @huipeizi--> 8 9 10DataAbility提供数据服务,并不是所有的Ability都有权限读写它,DataAbility有一套权限控制机制来保证数据安全。分为静态权限控制和动态权限控制两部分。 11 12 13## 静态权限控制 14 15DataAbility作为服务端,在被拉起的时候,会根据config.json里面配置的权限来进行校验,有"readPermission"、"writePermission"和"Permission"三个配置项,可以不配或者为空。示例如下: 16 17 18```json 19"abilities": [ 20 // ... 21 { 22 "name": ".DataAbility", 23 "srcLanguage": "ets", 24 "srcPath": "DataAbility", 25 "icon": "$media:icon", 26 "description": "$string:DataAbility_desc", 27 "type": "data", 28 "visible": true, 29 "uri": "dataability://com.samples.famodelabilitydevelop.DataAbility", 30 "readPermission": "ohos.permission.READ_CONTACTS", 31 "writePermission": "ohos.permission.WRITE_CONTACTS" 32 }, 33 // ... 34] 35``` 36 37客户端在拉起DataAbility的时候,需要校验客户端是否有权限拉起该DataAbility。客户端的权限配置在config.json配置文件的"module"对象的"reqPermissions"对象中,示例如下: 38 39 40```json 41{ 42 // ... 43 "module": { 44 // ... 45 "reqPermissions": [ 46 { 47 "name": "ohos.permission.READ_CONTACTS" 48 }, 49 { 50 "name": "ohos.permission.WRITE_CONTACTS" 51 }, 52 // ... 53 ], 54 // ... 55 } 56} 57``` 58 59 60## 动态权限控制 61 62静态权限校验只能控制某个DataAbility是否能被另一个Ability或应用拉起,无法精确校验每个读写接口的权限,因为拉起DataAbility的时候,还不知道应用是否需要读写它的数据。 63 64动态权限控制是校验每个数据操作的接口是否有对应的权限。客户端调用数据操作接口所需的权限如下表所示。 65 66 **表1** 接口对应的读写权限配置 67 68| 需要配置读权限的接口 | 需要配置写权限的接口 | 据实际操作配置读写权限的接口 | 69| -------- | -------- | -------- | 70| query、normalizeUri、denormalizeUri、openfile(传入mode有'r') | insert、batchInsert、delete、update、openfile(传入mode有'w') | executeBatch | 71 72对于需要配置读权限的接口,服务端需要配置readPermission,客户端必须申请相应的读权限才能调用相关的接口。 73 74对于需要配置写权限的接口,服务端需要配置writePermission,客户端必须申请相应的写权限才能调用相关的接口。 75