macOS-Cocoa开发之沙盒机制及访问Sandbox之外的文件

原文地址:http://www.skyfox.org/cocoa-macos-sandbox.html

iOS默认并且只能读写对应的沙盒目录。

OSX自从10.6系统开始引入沙盒机制,规定发布到Mac AppStore的应用,必须遵守沙盒约定。沙盒对应用访问的系统资源,硬件外设,文件,网络,XPC,都做了严格的限制,这样能防止恶意的App通过系统漏洞,攻击系统,获取控制权限,保证了OSX系统的安全。沙盒相当于给每个App一个独立的空间。要获取自己空间之外的资源必须获得授权。

macOS APP不需要上架的时候,可以不开启Sandbox 功能,可以随意访问mac上的文件。

当未开启Sandbox功能上传到APPStore的时候提示:

iTunes Store operation failed.
App sandbox not enabled. The following executables must include the "com.apple.security.app-sandbox" entitlement with a Boolean value of true in the entitlements property list: [( "org.skyfox.ProfilesTool.pkg/Payload/ProfilesTool.app/Contents/MacOS/ProfilesTool" )] Refer to App Sandbox page at https://developer.apple.com/devcenter/mac/app-sandbox/ for more information on sandboxing your app.

开启Sandbox

App Sandbox

在Xcode工程target设置Tab的Capabilities中选择 App Sandbox 为ON即可开启使用沙盒,Xcode自动生成.entitlements权限配置文件到工程。并且可以配置相应的权限,(网络,硬件,App Data,文件访问)

Network:网络访问控制

Incoming Connections(Server) :应用做为Server对外提供HTTP,FTP等服务时需要打开
Outgoing Connections(Client):做为客户端,访问服务器时需要打开

Hardware:硬件资源控, Printing为必须勾选。App的默认第一个顶级菜单中有打印功能的子菜单:

Camera
Micophone
USB
Printing

App Data:获取系统的联系人,位置,日历服务时需要打开:

Contacts
Location
Calendar

File Access:文件和用户目录的访问控制,分为禁止none,只读,读写3类:

User Selected File:文档类应用或者需要用户选择打开某个文件时,需要选择合适的访问权限.
Downloads Folder
Pictures Folder
Music Folder
Movies Folder
如果应用中不需要的权限项,一律不要打开。否则App Review团队会拒绝你的应用上架

entitlements权限配置信息存储

沙盒中每个需要访问权限的项都对应一个key,对应的value,YES 或 NO表示是否允许访问。选择配置了沙盒的访问控制信息后,Xcode会自动保存到一个扩展名为.entitlements的plist文件中



应用打包时会对这个文件进行签名, 应用运行期间要获取某个权限时,系统都会通过.entitlements去检查应用是否有授权,如果没有就拒绝访问。

Sandbox之外的文件怎么访问?

那么问题就出现了,开启Sandbox 功能之后,NSHomeDirectory对应的文件夹形如:
/Users/yourName/Library/Containers/com.xxxx.appname/Data
程序数据文件的存储路径也不同,原来在
~/Library/Application Support/<app_name>/
如今在沙盒内:
~Library/Containers/<bundle_id>/Data/Library/Application/Support/<app_name>/
沙盒保证了程序只能访问沙盒container下的文件夹,这样就相对安全的保护了程序自身。

访问沙盒外部文件

一、让用户人为选择目录

Capabilities中选择 App Sandbox ,在File Access中User Selected File项中选择Read/Write文件读写权限
沙盒有个默认的规则。在App运行期间通过NSOpenPanel用户手动打开的任意位置的文件,把这个这个路径保存下来,后面都是可以直接用这个路径继续访问获取文件内容的。
但是App重新启动后,这个文件路径就不能直接访问了。要想永久的获得应用的Container目录之外的文件,这里必须讲一下Security-Scoped Bookmark。

Security-scoped bookmarks:

使用bookmarks之前同样要在.entitlements文件中填写对应的key与value
Security-scoped bookmarks有2种:

1. An app-scoped bookmark

能为已沙盒程序提供对用户指定文件和文件夹的持久访问权。 例如,如果程序采用了一个程序容器外的下载或处理目标文件夹,通过 NSOpenpanel 对话框获得用户想使用该文件夹的初始访问权。
然后,为其创建一个 app-scoped bookmark,将它作为程序的配置储存(可能用属性列 表文件或 NSUserDefaults 类)。有了 app-scoped bookmark,程序就能获得对该文件夹的 未来访问权了。这种bookmark方式使用的比较多。

在.entitlements文件对应的key对应的权限key为com.apple.security.files.bookmarks.app-scope

2. A document-scoped bookmark

提供了对特定文档的持久访问权。可以理解为针对文档嵌套的一种权限模式。比如你开发一个能编辑ppt文档的应用,里面嵌入了视频文件,图片文件连接。那么下次打开这个ppt文档时就能直接访问这些文件而不需要在通过NSOpenPanel打开获得授权。

Document-scoped bookmark 只能指向文件而不是文件夹。并且这个文件必须不在系统使用的 位置上(如/private 或/Library)

在.entitlements文件对应的key对应的权限key为com.apple.security.files.bookmarks.document-scope

保存打开的文件URL的bookmark

获取到URL的bookmarkData存储到NSUserDefaults等位置
NSData *bookmarkData =[url bookmarkDataWithOptions:NSURLBookmarkCreationWithSecurityScope includingResourceValuesForKeys:nil relativeToURL:nil error:NULL];

应用启动时通过URL的bookmark获取文件授权

通过bookmark数据解析获取授权的NSURL,并且执行startAccessingSecurityScopedResource方法得到访问权限。

执行block回调完成相关内容读取后,执行stopAccessingSecurityScopedResource停止授权。

NSURL *allowedUrl = [NSURL URLByResolvingBookmarkData:bookmarkData options:NSURLBookmarkResolutionWithSecurityScope|NSURLBookmarkResolutionWithoutUI relativeToURL:nil bookmarkDataIsStale:&bookmarkDataIsStale error:NULL];
@try {
  [allowedUrl startAccessingSecurityScopedResource];
  block();
} @finally {
  [allowedUrl stopAccessingSecurityScopedResource];
}

二、文件访问临时例外

在开启沙盒功能的App中,App仅可以访问container中的数据,application groupcontainer,POSIX可读的公开位置、用户手动Open或Save dialog打开的位置 。如果您的应用程序需要永久访问到其他位置,你可以通过启用本人所述的临时例外entitlement权限键将额外的位置带入你的沙盒
为每个您想要启用访问的路径,将路径指定为相应的entitlement权限key值数组。每个字符串必须以斜杠 (/) 字符开头 — — 它代表绝对路径或相对于用户的主目录的路径。如果您提供的是一个目录路径,你必须以斜杠字符串结束。

home-relative-path
临时例外, 提供一个相对于user home目录的路径。相对于~

例如我指定“/Library/MobileDevice/Provisioning Profiles/”目录用来读取系统的profies文件。



当我设置home相对路径后,在程序中要手动拼接上home目录。

拼接home路径有两种方式:

一种是getpwuid方法

#include <unistd.h>
#include <sys/types.h>
#include <pwd.h>
#include <assert.h>

struct passwd *pw = getpwuid(getuid());
NSString *home =  [NSString stringWithUTF8String:pw->pw_dir];

一种是根据沙盒目录字符串截取

 NSString *home = NSHomeDirectory();
    NSArray *pathArray = [home componentsSeparatedByString:@"/"];
    NSString *absolutePath;
    if ([pathArray count] > 2) {
        absolutePath = [NSString stringWithFormat:@"/%@/%@", [pathArray objectAtIndex:1], [pathArray objectAtIndex:2]];
    }

absolute-path
临时例外, 提供一个绝对路径。相对于 /

Entitlement key Capability
com.apple.security.temporary-exception.files.home-relative-path.read-only 开启对于home指定子目录或者文件的只读权限
com.apple.security.temporary-exception.files.home-relative-path.read-write 开启对于home指定子目录或者文件的读写权限
com.apple.security.temporary-exception.files.absolute-path.read-only 开启对于 / 指定子目录或者文件的只读权限
com.apple.security.temporary-exception.files.absolute-path.read-write 开启对于 / 指定子目录或者文件的读写权限

推荐阅读更多精彩内容

  • 掉坑 记得在笨鸟海淘做仓库管理系统的时候,我用Windows写仓库管理软件。当时系统用的是Windows 10。微...
    跳坑的码农阅读 6,605评论 0 2
  • 整理自如下文章: iOS学习之iOS沙盒(sandbox)机制和文件操作(一) http://blog.csdn....
    Kevin_Junbaozi阅读 697评论 0 3
  • 一、简介 1.1 概念:每个iOS应用都有自己的应用沙盒,应用沙盒就是文件系统目录。 1.2 核心:sandbox...
    PersonChen_QJ阅读 9,449评论 1 6
  • 前言:突然想学习一下,沙盒,看了那么多博客,我四处的搜集一下总结一下,为了以后方便学习,留存一篇整合的文章。 一、...
    麦穗0615阅读 11,469评论 5 28
  • 一次次在夜里沉睡 一次次在夜里苏醒 我眼看东方升起皎白 只因心里有你 我模糊了许多梦境与真实 我从未遇见你 可是你...
    关尔小米阅读 141评论 0 1
  • 在家乡的田野上,大片大片的是绿油油的麦田,有风拂过,恰似海浪般好看。在这齐整的小麦中,散立着为数不多的异类,便是燕...
    韩非子鱼阅读 234评论 0 4
  • 人生的每一天都是独一无二的一天,对于我们来说但却一般会没那么多的突发和不同寻常,今日的点滴还是让自己震惊的有...
    乃逗儿阅读 256评论 2 2