एक एप्लिकेशन "डिवाइस पर उपयोग" के साथ क्या कर सकता है अनुमति?


28

क्या ऐसा ऐप मेरे ईमेल / कैलेंडर / संदेश / डॉक्स / आदि को स्वतंत्र रूप से पढ़ सकता है? "

"USE ACCOUNTS ON THE DEVICE" की अनुमति डेवलपर्स के लिए android.permission.USE_CREDIIALS के रूप में भी जानी जाती है ।

ऐसे ऐप्स का उदाहरण: व्हाट्सएप , माइटीटेक्स्ट


1
मैं क्या इस अनुमति का उपयोग किया जा सकता है के Android API का एक उदाहरण पाया: goo.gl/gjkJB । एक डेवलपर के रूप मेरी समझ से, यह करने के लिए एक पहुँच का मतलब है सब कुछ । एक बार एक उपयोगकर्ता किसी खाते का टोकन है, वह किसी भी सेवाओं का उपयोग कर सकते हैं खातों प्रदान करता है: फेसबुक के धारा, गूगल की ईमेल - सब कुछ
एलिकएल्ज़िन-किलाका

2
मेरा मतलब यूजर के नजरिए से था। मुझे लगता है कि उपयोगकर्ताओं को उस अनुमति के पीछे घुसपैठ के बारे में पता नहीं है।
एलिकएल्ज़िन-किलाका

1
@ t0mm13b - संदेशों को पढ़ने के लिए विशिष्ट अनुमतियाँ (OAuth) देना, उदाहरण के लिए, किसी खाते पर पूर्ण पहुँच देने की तुलना में बहुत कम घुसपैठ है।
एलिकएल्ज़िन-किलाका

8
मुझे लगता है कि यह इस साइट के लिए एक उचित सवाल है। मैं निश्चित रूप से पता करने के लिए वास्तव में क्या उपलब्ध अनुमतियों के प्रत्येक है चाहते हैं वास्तव में करने के लिए उपयोग दे रही है।
ale

जवाबों:


35

एंड्रॉइड में ऑनलाइन सेवाओं (जैसे आपका Google खाता) के लिए क्रेडेंशियल्स के प्रबंधन के लिए एक केंद्रीकृत प्रणाली है। एक घटक को कहा जाता है AccountManager। कुछ ऐप " खाता प्रमाणक के रूप में कार्य कर सकते हैं "। इसका मतलब यह है कि वे समझते हैं कि किसी विशेष ऑनलाइन सेवा में कैसे लॉग इन किया जा सकता है, और उस सेवा में लॉग इन कर सकते हैं AccountManager। अन्य एप्लिकेशन आपको हर बार अपना पासवर्ड दर्ज किए बिना, आपकी पहचान करने या आपकी ओर से कार्रवाई करने के लिए उस लॉगिन जानकारी का उपयोग करना चाहते हैं।

उदाहरण: Google में लॉग इन करना

आपके फ़ोन में एक अंतर्निहित ऐप है जो आपके Google खाते के लिए "खाता प्रमाणक के रूप में कार्य करता है"। यह जानता है कि Google में लॉग इन कैसे करें, और आपके पास फोन सेट करते समय आपके द्वारा दर्ज किया गया ईमेल और पासवर्ड है। एक YouTube ऐप भी है, जो आपके पसंदीदा वीडियो दिखाने के लिए लॉग इन करना चाहता है, और आपको टिप्पणी करने देता है, लेकिन फिर से अपना ईमेल और पासवर्ड डाले बिना।

यह YouTube ऐप AccountManagerउससे बात करता है और पूछता है कि क्या उसके पास Google खाते के लिए कोई क्रेडेंशियल है। इस प्रश्न को पूछने के लिए "डिवाइस पर खाते ढूंढें" अनुमति की आवश्यकता होती है। AccountManagerफोन है, जो इसे इस सवाल का जवाब देने से सलाह लेता है पर स्थापित authenticators की एक सूची है। यदि इसके पास कोई क्रेडेंशियल नहीं है, तो ऐप फिर Google खाते के लिए एक ऑर्टोटोकैन के रूप में जाना जाता है के लिए पूछेगा । इस अनुरोध के लिए " डिवाइस पर उपयोग खातों " की अनुमति की आवश्यकता होती है।

AccountManagerयदि आप अनुरोध करने वाला ऐप (यूट्यूब) करने का अनुरोध खाते (Google खाते) का उपयोग कर सकेंगे चाहते हैं तो आप पूछते हैं। यह एक संवाद में हो सकता है जो ऐप पर, या एक अधिसूचना में दिखाई देता है। वैकल्पिक रूप से, एप्लिकेशन कुछ भी नहीं करने का विकल्प चुन सकता है यदि आपने पहले से ही इस प्रश्न का उत्तर नहीं दिया है: यह बाद में अधिक सुविधाजनक समय पर पूछना चाह सकता है। यह चरण सुनिश्चित करता है कि "डिवाइस पर खातों का उपयोग करें" अनुमति वाला कोई एप्लिकेशन बिना पूछे हर खाते का तुरंत उपयोग नहीं कर सकता है।

यदि आप हाँ कहते हैं, तो AccountManagerप्रमाणीकरणकर्ता (अंतर्निहित Google ऐप) के लिए अनुरोध। आगे क्या होता है यह प्रमाणक और उस विशेष सेवा पर निर्भर करता है जिसे आप लॉग इन कर रहे हैं। यदि आपने पहले ऐसा नहीं किया है, तो आपको लॉग इन करने की आवश्यकता हो सकती है, और लॉग इन करने के लिए उपयोगकर्ता नाम और पासवर्ड, एक फोटो, एक एसएमएस, या पूरी तरह से कुछ और की आवश्यकता हो सकती है। प्रमाणक जो कुछ भी करता है, वह या तो विफल हो सकता है, या अनुरोध एप्लिकेशन को वापस एक ऑर्टोकॉक दे सकता है।

आगे की जाँच

प्रमाणक और ऑनलाइन सेवा यह भी नियंत्रित कर सकती है कि अनुरोध करने वाले ऐप क्या कार्य कर सकते हैं। उदाहरण के लिए, जब आप किसी ऐप को अपने Google खाते से कनेक्ट करते हैं, तो Google ऐप की ज़रूरतों (जैसे YouTube के लिए "वीडियो अपलोड करें") को सूचीबद्ध करता है। इस प्रकार, ऐप केवल सूचीबद्ध कार्यों को ही कर सकता है। हालाँकि, कुछ सेवाओं में ऐसा कुछ नहीं हो सकता है; ऐसी सेवा के लिए, एक बार जब आप ऐप को अपनी साख का उपयोग करने की अनुमति देते हैं, तो यह आपके नाम पर कोई भी कार्रवाई कर सकता है ।

एक बार अनुरोध करने वाले ऐप ने ऑर्टोकॉकन प्राप्त कर लिया है, यह आपसे आगे कोई बातचीत किए बिना आपके नाम पर कार्रवाई करने के लिए इसका उपयोग करना जारी रख सकता है। यानी, एक बार जब आप सहमत हो जाते हैं कि डैन का ट्विटर क्लाइंट आपके ट्विटर फीड पर पोस्ट कर सकता है, तो यह पृष्ठभूमि में चल सकता है और आपके जानने के बिना आगे के ट्वीट पोस्ट कर सकता है। यदि आप ऐसा नहीं करने के लिए भरोसा करते हैं, तो आपको केवल अपने क्रेडेंशियल्स के लिए ऐप एक्सेस देना चाहिए ।

सारांश

" डिवाइस पर खातों का उपयोग करें " अनुमति के साथ एक ऐप , एक बार स्थापित होने पर, आपको अपने नाम से एक ऑनलाइन सेवा (जैसे Google, फेसबुक या ट्विटर) का उपयोग करने के लिए कह सकता है। आप इसे सेवा का उपयोग करने देने के लिए चुन सकते हैं या नहीं। यदि आप इसे सेवा तक पहुँचने देते हैं, तो यह आपकी ओर से कौन-सी कार्रवाइयाँ कर सकता है, यह सेवा द्वारा सीमित हो सकता है (यह सेवा पर निर्भर है), और सेवा आपको बाद में उस अनुमति को रद्द कर सकती है (आमतौर पर "कनेक्टेड ऐप्स की सूची") "सेवा की वेबसाइट पर)।


0

मैंने इस उदाहरण को Android API में पाया कि उस अनुमति का उपयोग करके क्या किया जा सकता है।

एक डेवलपर के रूप में मेरी समझ से, इसका मतलब पासवर्ड बदलने के अलावा, खाते द्वारा प्रदान की गई लगभग हर चीज तक पहुंच है ।

एक बार एक उपयोगकर्ता किसी खाते का टोकन है, वह किसी भी सेवा खाता ऑफ़र तक पहुंच सकते हैं: - लगभग अपने Facebook दीवार पर पोस्ट, आपका Gmail पढ़ने सब कुछ


मुझे 100% यकीन नहीं है, लेकिन मुझे लगता है कि App टोकन को एक्सेस करने और उसका उपयोग करने से पहले "सेलेक्ट अकाउंट" स्क्रीन है। केवल अनुमति ही पर्याप्त नहीं है जो उपयोगकर्ताओं के खाते तक पहुंच पाती है।
प्रवाह करें

2
बिल्कुल नहीं - इससे पहले "लगभग" शब्द जोड़ें। जैसा कि विशेषाधिकार के नाम से पता चलता है: यह खाता जानकारी का उपयोग कर सकता है , लेकिन इसे बदल नहीं सकता है। मेरे ज्ञान के अनुसार, यह "उपयोगकर्ता के नाम पर प्रमाणित" हो सकता है, लेकिन खुद को पहचानने के बिना। तो हाँ: यह आपके मेल को पढ़ सकता है, शायद फेसबुक पर भी पोस्ट करे। लेकिन यह आपके पासवर्ड की जासूसी नहीं कर सकता था। फिर भी, यह एक संवेदनशील विशेषाधिकार है।
इज़्ज़

यह उत्तर गलत है क्योंकि आप इस तरह की पहुंच के साथ खाते के पासवर्ड को बदलने में असमर्थ हैं, जिससे आपके पास "सब कुछ" तक पहुंच नहीं है।
pzkpfw

@pzkpfw: मैंने दुनिया को "लगभग" शामिल करने के उत्तर को अपडेट किया है क्योंकि कई दुर्भावनापूर्ण उपयोग के मामलों के लिए, हमलावर पासवर्ड बदलना नहीं चाहेगा, लेकिन चुपचाप खाते का दुरुपयोग करेगा।
डैन डस्केल्सस्कु

-1

ऐप किसी भी सेवा खाते तक नहीं पहुंचेगा। कुछ ऐप्स को इस अनुमति की आवश्यकता होती है क्योंकि उन्हें अपने ऐप से एक नया खाता खोलने की आवश्यकता होती है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.