Android开发案例 - 优雅地强制用户重新登录
大部分移动应用都是需要使用账号登录才能使用的。既然有账号登录操作,那么相应地也有账号登出操作。账号登出包含以下两种情况:
- 用户主动登出账号
- 用户被迫登出账号
第一种情况实现相对比较简单,本文暂不涉及。
第二种情况主要是由于登录凭证(AccessToken)过期失效等原因,导致应用强制登出,并且要求用户重新登录。
在文章开始之前,先看看Android Q的新特性:
官方资料 - 1:Android Q 隐私权变更:针对后台 Activity 启动的限制
Android Q 对应用可启动 Activity 的时间施加了限制。此项行为变更有助于最大限度地减少对用户造成的中断,并且可以让用户更好地控制其屏幕上显示的内容。具体而言,在 Android Q 上运行的应用只有在满足以下一个或多个条件时才能启动 Activity:
- 该应用具有可见窗口,例如在前台运行的 Activity。
- 在前台运行的另一个应用会发送属于该应用的PendingIntent。示例包括发送菜单项待定 intent 的自定义标签页提供程序。
- 系统发送属于该应用的PendingIntent,例如点按通知。只有应用应启动界面的待定 intent 才可以免除。
- 系统向应用发送广播,例如SECRET_CODE_ACTION。只有应用应启动界面的特定广播才可以免除。
注意:出于 Activity 启动的目的,前台服务不会将应用限定为在前台运行。
此项行为变更适用于在 Android Q 上运行的所有应用,包括以 Android 9(API 级别 28)或更低版本为目标平台的应用。此外,即使您的应用以 Android 9 或更低版本为目标平台并且最初安装在运行 Android 9 或更低版本的设备上,该行为变更仍会在设备升级到 Android Q 后生效。
但是,只要您的应用启动 Activity 是因用户互动直接引发的,该应用就极有可能不会受到此项变更的影响。实际上,大多数应用都不会受到此项变更的影响。如果您发现自己的应用受到了影响,请向我们发送反馈。
官方资料 - 2:Broadcasts overview
Security considerations and best practices
Here are some security considerations and best practices for sending and receiving broadcasts:
...
- Do not start activities from broadcast receivers because the user experience is jarring; especially if there is more than one receiver. Instead, consider displaying a notification.
知识要点
- Android API Level 14
ActivityLifecycleCallbacks
BroadcastReceiver
PendingIntent
Intent.makeRestartActivityTask(ComponentName)
基本思路
App
注册「强制登出」的私有广播,且将优先级设置为最低-999;App
注册ActivityLifecycleCallbacks
,监听Activity
的生命周期;App#onActivityResumed(Activity)
被调用时,将Activity
注册「强制登出」的私有广播。此时,如果有「强制登出」的广播发送,且应用在前台运行,那么则是前台Activity
先接收到此广播,然后重启页面;应用在后台运行,那么此广播就会被App
接收到,然后下次打开应用时重启页面。
注意:「强制登出」的广播必须要定义为私有广播,只能在应用内发送接收。
实现代码
- 变量和接口说明:
1.YOUR_PACKAGE_NAME
:项目工程的PackageName包名,即AndroidManifest.xml
中的manifest-package值
:
<manifest package="${YOUR_PACKAGE_NAME}">
2.YOUR_LAUNCHER_ACTIVITY
:启动页面。需要注意的是重启界面时,会传递EXTRA_FORCE_LOGOUT_INTENT
参数,告知启动页面进行必要的清理工作,如移除已登录账号信息等;
3.AnonymouslyAccessible
:接口,表示不要求登录就可以打开的页面;
4.isServerSettingsAcquired()
:服务器配置已配置,如果服务器地址不是固定域名,则需要实现此函数;
5.hasAuthenticatedUser()
:是否用户已登录。
根据实际项目工程替换掉YOUR_PACKAGE_NAME
、YOUR_LAUNCHER_ACTIVITY
变量,并填充isServerSettingsAcquired()
、hasAuthenticatedUser()
- App.java:
public class App extends Application implements ActivityLifecycleCallbacks { public static String ACTION_FORCE_LOGOUT = "${YOUR_PACKAGE_NAME}.action.FORCE_LOGOUT"; public static String PERMISSION_PRIVATE = "${YOUR_PACKAGE_NAME}.permission.PRIVATE"; @Override public void onCreate() { super.onCreate(); registerActivityLifecycleCallbacks(this); IntentFilter intentFilter = new IntentFilter(ACTION_FORCE_LOGOUT); intentFilter.setPriority(-999); registerReceiver(mReceiver, intentFilter, PERMISSION_PRIVATE, null); } private boolean mWillForceLogout; private BroadcastReceiver mReceiver = new BroadcastReceiver() { @Override public void onReceive(Context context, Intent intent) { PendingIntent pendingIntent = getForceLogoutBroadcast(context, false); if (pendingIntent != null) { pendingIntent.cancel(); mWillForceLogout = true; } } }; private static PendingIntent getForceLogoutBroadcast(Context context, boolean createIfNotExist) { Intent intent = new Intent(ACTION_FORCE_LOGOUT); intent.setPackage(context.getPackageName()); int flag = createIfNotExist ? 0 : PendingIntent.FLAG_NO_CREATE; return PendingIntent.getBroadcast(context, 0, intent, flag); } @Override public void onActivityResumed(Activity activity) { if (!(activity instanceof AnonymouslyAccessible)) { IntentFilter intentFilter = new IntentFilter(ACTION_FORCE_LOGOUT); activity.registerReceiver(mActivityReceiver, intentFilter, PERMISSION_PRIVATE, null); } boolean willForceLogout = takeWillForceLogout(); if (willForceLogout || shouldStartLauncherActivity(activity)) { restartActivity(willForceLogout); } } protected void restartActivity(boolean willForceLogout) { ComponentName componentName = new ComponentName(this, ${YOUR_LAUNCHER_ACTIVITY}.class); Intent intent = Intent.makeRestartActivityTask(componentName); if (willForceLogout) { intent.putExtra(${YOUR_LAUNCHER_ACTIVITY}.EXTRA_FORCE_LOGOUT_INTENT, true); } startActivity(intent); } private BroadcastReceiver mActivityReceiver = new BroadcastReceiver() { @Override public void onReceive(Context context, Intent intent) { restartActivity(true); PendingIntent pendingIntent = getForceLogoutBroadcast(context, false); if (pendingIntent != null) { pendingIntent.cancel(); } } }; private boolean takeWillForceLogout() { boolean willForceLogout = mWillForceLogout; mWillForceLogout = false; return willForceLogout; } private boolean shouldStartLauncherActivity(Activity activity) { if (activity instanceof AnonymouslyAccessible) { return false; } return !isServerSettingsAcquired() || !hasAuthenticatedUser(); } public boolean isServerSettingsAcquired() { // YOUR CODE ? } public boolean hasAuthenticatedUser() { // YOUR CODE ? } @Override public void onActivityPaused(Activity activity) { if (!(activity instanceof AnonymouslyAccessible)) { activity.unregisterReceiver(mActivityReceiver); } } @Override public void onTerminate() { unregisterReceiver(mReceiver); unregisterActivityLifecycleCallbacks(this); super.onTerminate(); } public static void forceLogout(Context context) { try { PendingIntent pendingIntent = getForceLogoutBroadcast(context, false); if (pendingIntent == null) { pendingIntent = getForceLogoutBroadcast(context, true); pendingIntent.send(context, 0, null, null, null, PERMISSION_PRIVATE); } } catch (CanceledException e) { e.printStackTrace(); } } }
- AndroidManifest.xml:
<permission android:name="${YOUR_PACKAGE_NAME}.permission.PRIVATE" android:protectionLevel="signature" /> <uses-permission android:name="${YOUR_PACKAGE_NAME}.permission.PRIVATE" />
一般来说,客户端收到登录凭证(AccessToken)过期通知有两种途径:
- 页面主动调用服务器接口,接口返回报错通知登录凭证过期
- 长连接推送登录凭证过期通知
客户端收到上述通知后,调用以下代码即可:
App.forceLogout(Context)
END. >> SEE MORE: http://erehmi.github.io/