三方AAR的抗争
背景
公司有一个项目需要用到华为推送,国家和我们普通用户对应用申请的权限越来越关注,同时公司内部也开始重视自家APP依赖的第三方sdk是否安全以及存在某些潜在隐患。
这时候恰逢华为为了打通任督二脉而强制所有华为应用市场的应用都必须集成华为服务,那我们之前的华为push因为版本过低,这时候也跟着集成大军一起升级了。
但是发现一个问题:华为push SDK内一个base的aar依赖了一个隐私权限(外部存储权限)。
外部存储权限为啥子是隐私权限呢,如果一个SDK申明了这种权限,极有可能就会在某个时机触发某种case,在用户的外部存储做很多事情,当然这并不是宿主APP期望的。也不该是一个推送SDK该有的。
后来沟通得知,华为是为了下载自家的华为底层服务,检测用户设备上是否具备自家的底层服务,如果没有就帮用户下载。因为华为推送依赖这个服务。
不得不说华为虽然是一代枭雄,但是公司里面并不是每个产品都是枭雄。
历程
如何解决?
- 项目急着上线
- 隐私权限公司审核不通过
- 不升级华为推送SDK,我们又不能不升级,不升级华为应用市场又不给上。
方案1:重新打包SDK
* 解压`.aar`文件
* 使用`jd-gui`查看源码并定位到代码再修改
* 解压`.aar`文件解压后产生的`classes.jar`文件
* 打包源码为`classes.jar`
* 打包所有文件(`res文件、classes.jar、AndroidManifest.xml`等)为`xxx.aar`
解压.aar文件命令
`$ unzip HUAWEI***base.aar -d huaweiUNZIP`
使用jd-gui查看源码并定位到代码再修改
1. 进入`huaweiUNZIP`把里面的`classes.jar`复制出来
2. 再使用jd-gui(mac版下载地址:[https://github.com/parcool/resources/blob/master/jd-gui-1.4.0.jar](https://links.jianshu.com/go?to=https%3A%2F%2Fgithub.com%2Fparcool%2Fresources%2Fblob%2Fmaster%2Fjd-gui-1.4.0.jar) windows自行下载)打开`classes.jar`找到需要修改的地方,把这个类的代码copy出来,在android studio中新建项目,把这个`.aar`放到新建`libs`文件夹里再引用它,把之前copy出来的代码新建一个`.java`后粘贴到里面(注意包名也得一样,部分报错的代码需要手动修改一下。比如:`this`关键字之类的删掉),改好后build一下,从`/build/intermediates/classes/debug/对应包名`找到修改的`.class`文件。
解压.aar文件解压后产生的classes.jar文件
1. 解压`classes.jar`。命令:`$ unzip classes.jar -d huaweiUNZIPClasses`
2. 把第二步生成的`.class`文件放到`tempFolderClasses`文件夹下对应的地方替换掉以前的`.class`文件(大功即将告成)
打包源码为classes.jar
`$ jar cvf newClasses.jar -C huaweiUNZIPClasses/ .`(注意斜杠后面加空格与.)
再把这个`newClasses.jar`放回`huaweiUNZIP`并删除之前的,修改文件名为`classes.jar`
打包所有文件(res文件、classes.jar、AndroidManifest.xml等)为xxx.aar
`$ jar cvf huaweiSDK.aar -C huaweiUNZIP/ .`
