Une telle application peut-elle lire librement mes courriels/calendrier/messages/docs/etc ?
L'autorisation "UTILISER DES COMPTES SUR LE DISPOSITIF" est également connue des développeurs sous le nom de Android.permission.USE_CREDENTIALS .
Exemple de telles applications : WhatsApp , MightyText .
Android dispose d'un système centralisé de gestion des informations d'identification pour les services en ligne (comme votre compte Google). L'un des composants est appelé le AccountManager . Certaines applications peuvent " agir en tant qu'authentificateur de compte ". Cela signifie qu'ils comprennent comment se connecter à un service en ligne particulier, et peuvent se connecter à ce service pour le AccountManager . D'autres applications veulent utiliser ces informations de connexion pour vous identifier ou effectuer des actions en votre nom, sans que vous ayez à saisir votre mot de passe à chaque fois.
Votre téléphone dispose d'une application intégrée qui "fait office d'authentificateur de compte" pour votre compte Google. Elle sait comment se connecter à Google et dispose de l'adresse électronique et du mot de passe que vous avez saisis lorsque vous avez configuré le téléphone. Il existe également une application YouTube, qui souhaite se connecter pour afficher vos vidéos préférées et vous permettre de les commenter, mais sans avoir à saisir à nouveau votre adresse électronique et votre mot de passe.
Cette application YouTube parle au AccountManager et demande s'il a des informations d'identification pour un compte Google. Poser cette question nécessite l'autorisation de "trouver des comptes sur l'appareil". Le site AccountManager a une liste d'authentificateurs installés sur le téléphone, qu'il consulte pour répondre à cette question. Si elle dispose d'informations d'identification, l'application demandera alors ce que l'on appelle un "code d'accès". authtoken pour le compte Google. Cette demande nécessite le code " utiliser des comptes sur l'appareil permission ".
El AccountManager vous demande ensuite si vous souhaitez que l'application requérante (YouTube) puisse utiliser le compte demandé (compte Google). Cela peut se faire dans une boîte de dialogue qui apparaît au-dessus de l'application ou dans une notification. L'application peut également choisir de ne rien faire si vous n'avez pas déjà répondu oui à cette question : elle peut vouloir demander plus tard, à un moment plus opportun. Cette étape garantit qu'une application disposant de l'autorisation d'"utiliser les comptes de l'appareil" ne peut pas utiliser immédiatement tous les comptes sans vous le demander.
Si vous dites oui, le AccountManager transmet la demande à l'authentificateur (l'application Google intégrée). La suite dépend de l'authentificateur et du service auquel vous vous connectez. Vous devrez peut-être vous connecter si vous ne l'avez jamais fait auparavant, et la connexion peut nécessiter un nom d'utilisateur et un mot de passe, une photo, un SMS ou quelque chose d'autre. Quelle que soit l'action de l'authentificateur, il peut soit échouer, soit renvoyer un authtoken à l'application requérante.
L'authentificateur et le service en ligne peuvent également contrôler les actions que l'application requérante peut effectuer. Par exemple, lorsque vous connectez une application à votre compte Google, Google dresse la liste des autorisations dont l'application a besoin (comme "télécharger des vidéos" pour YouTube). L'application ne peut donc effectuer que les actions indiquées. Cependant, certains services n'ont pas ce genre d'autorisation ; pour un tel service, une fois que vous avez autorisé l'application à utiliser vos informations d'identification, elle peut prendre les mesures suivantes toute action en votre nom.
Une fois que l'application requérante a obtenu l'authotoken, elle peut continuer à l'utiliser pour effectuer des actions en votre nom sans autre intervention de votre part. En d'autres termes, une fois que vous avez accepté que le client Twitter de Dan publie des messages sur votre flux Twitter, il peut fonctionner en arrière-plan et publier d'autres messages à votre insu. Vous ne devez accorder à l'application l'accès à vos informations d'identification que si vous confiance de ne pas le faire.
Une application avec l'icône " utiliser des comptes sur l'appareil L'autorisation " peut, une fois installée, vous demander pour accéder à un service en ligne (tel que Google, Facebook ou Twitter) en votre nom. Vous pouvez choisir de l'autoriser ou non à accéder à ce service. Si vous l'autorisez à accéder à ce service, les actions qu'il peut entreprendre en votre nom sont les suivantes pourrait être limitée par le service (c'est le service qui décide), et le service pourrait vous permettent de révoquer cette autorisation ultérieurement (généralement via une liste d'"applications connectées" sur le site web du service).
J'ai trouvé cet exemple dans l'API Android de ce qui peut être fait en utilisant cette permission.
D'après ce que j'ai compris en tant que développeur, cela signifie l'accès à presque tous les éléments suivants TOUT fournis par le compte, sauf le changement de mot de passe.
Une fois qu'un utilisateur dispose du jeton d'accès à un compte, il peut accéder à tous les services offerts par ce compte : poster sur votre mur Facebook, lire votre Gmail, etc. TOUT .
AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
