AndroidHiddenApiBypass项目中的权限合并问题解析

问题背景

在Android开发中，当开发者将AndroidHiddenApiBypass库从4.3版本升级到5.0版本后，发现生成的APK中莫名添加了三个额外的权限：WRITE_EXTERNAL_STORAGE、READ_PHONE_STATE和READ_EXTERNAL_STORAGE。这些权限并未在项目的Manifest文件中明确定义，却出现在了最终打包的APK中。

问题原因分析

经过深入调查，发现这个问题源于Android Gradle插件(AGP)的一个特殊行为。当库模块(aar)中没有指定targetSdkVersion时，AGP会使用minSdkVersion作为targetSdkVersion的替代值，并根据这个值自动添加一些隐式权限。

具体到本案例中：

1. WRITE_EXTERNAL_STORAGE权限被隐式添加，是因为库的targetSdkVersion被认为低于4
2. READ_PHONE_STATE权限同样因为targetSdkVersion被认为低于4而被添加
3. READ_EXTERNAL_STORAGE权限则是由于WRITE_EXTERNAL_STORAGE权限被请求而自动添加的配套权限

技术原理详解

在Android构建过程中，manifest合并是一个关键步骤。当应用依赖的库模块(aar)中没有明确指定targetSdkVersion时，AGP会采取以下处理逻辑：

1. 从库的清单文件中提取minSdkVersion
2. 将这个minSdkVersion作为targetSdkVersion的替代值
3. 根据这个"伪targetSdkVersion"值，添加Android系统在该API级别下要求的隐式权限

这种行为实际上是Android构建系统的一个已知问题，Google已经在其问题跟踪系统中记录了相关情况。

解决方案

针对这个问题，目前有以下几种解决方案：

1. 回退到稳定版本：暂时使用4.3版本的AndroidHiddenApiBypass库，直到AGP修复这个问题
2. 手动移除权限：在应用的Manifest文件中显式移除这些不需要的权限
3. 等待官方修复：关注AGP的更新，等待官方修复这个manifest合并的问题

最佳实践建议

1. 在升级依赖库版本时，应该仔细检查生成的APK中权限的变化
2. 定期检查manifest-merger-debug-report.txt文件，了解权限合并的详细情况
3. 对于关键权限，建议在应用的Manifest文件中显式声明，避免依赖隐式添加
4. 保持对AGP最新版本的关注，及时获取相关问题的修复

总结

这个案例展示了Android构建系统中manifest合并机制的复杂性，特别是当涉及到权限处理时。开发者需要理解AGP在处理库模块时的默认行为，特别是在targetSdkVersion缺失时的特殊处理逻辑。通过这个问题的分析，我们也能更好地理解Android权限系统的工作原理，以及在多模块项目中权限是如何被合并处理的。