上篇文章对位置权限的合理使用场景、不合理使用场景进行了详细说明,本文将对短信权限的合理使用场景、不合理使用场景进行梳理总结。下图为《绿标5.0安全标准》对于短信权限的要求:
1.android.permission.SEND_SMS
权限定义:允许应用程序发送短信。
合理使用场景
1)便捷生活类:在支付场景中,用户密码安全级别较低时,为确认是否为本机操作,发送特定短信指令进行安全认证;
2)实用工具类:以便利用户操作为目的,APP帮助用户发送特定短信指令至特定号码,查询相关信息或订阅服务的场景,如流量余额查询或者向运营商发送流量校准短信;
3)运动健康类:手环/手表与手机蓝牙配对连接以后,当手机侧来电话时,在手表侧会显示短信拒接的选项,用户在手环/手表上点击拒接后,会通过APP直接向对方发送相应的拒接短信。
不合理使用场景
1)实用工具类、金融理财类、游戏类、影音娱乐类等:在用户注册、登录账号的场景下,用户输入手机号码后,点击获取验证码时申请此权限;
2)便捷生活类:在用户邀请通讯录好友注册登录使用某应用的场景下,给被邀请用户发送短信。点击邀请之后就会打开手机短信发送页面,点击“发送”按钮后,邀请好友的信息就会以手机短信的形式发送出去。
2.android.permission.RECEIVE_SMS、
android.permission.READ_SMS:
权限定义:
1)android.permission.RECEIVE_SMS:允许应用程序监听用户手机上接收到的短信;
2)android.permission.READ_SMS:允许应用程序读取用户手机上的短信。
合理使用场景
实用工具类:①用于流量校准时,接收运营商发送的短信,方便进行流量校准;②以帮助用户拦截、屏蔽用户不期望接收的短信信息为目的,APP识别并处置相关短信信息的场景;③智慧语音读取短信内容。
不合理使用场景
在用户注册、登录账号的场景下,用户输入手机号码后,点击获取验证码,用户收到短信后,应用程序自动识别短信内容,并将验证码显示在键盘上。
3.总结
1)动态授权:APP应基于自身业务功能和场景,以权限申请最小化为原则,仅在业务功能触发时,向用户申请必要的短信权限。在合理的使用场景中,应动态弹窗申请相应权限,不应提前或过度申请。
2)动态短信密码和帐号验证的可实现方案:SMS Retriever API 可使应用自动以短信方式执行用户验证,不需要用户手动输入验证码,也无需任何额外的应用权限。如果 SMS Retriever API 不适用,用户也可以手动输入验证码。
以上就是短信权限的内容,后续还会发布电话、通讯录、存储、无障碍、设备管理器、通知栏、悬浮窗的内容,请持续关注软件绿色联盟。
