什么是“ android：allowBackup”？

由于新的ADT预览版（版本21） ，他们有一个新的皮棉警告，告诉我在清单文件，接下来的事情（在应用程序标签）：

应该将android：allowBackup显式设置为true或false（默认情况下为true，这可能会对应用程序的数据产生一些安全隐患）

他们在官方网站上写道：

进行了两项新检查：必须明确确定您的应用是否允许备份以及标签检查。有一个用于设置库路径的新命令行标志。编辑时对增量皮棉分析的许多改进。

这是什么警告？什么是备份功能，如何使用？

另外，为什么警告告诉我它具有安全隐患？禁用此功能有哪些不利和好处？

清单备份有两个概念：

• “机器人：allowBackup ”允许备份和通过ADB恢复，如图所示在这里：

是否允许应用程序参与备份和还原基础结构。如果将此属性设置为false，则即使通过全系统备份也不会执行应用程序的备份或还原，否则将导致所有应用程序数据通过adb保存。此属性的默认值为true。

这被认为是安全问题，因为人们可以通过ADB备份您的应用程序，然后将您应用程序的私有数据存储到他们的PC中。

但是，我认为这不是问题，因为大多数用户不知道什么是adb，如果这样做，他们也将知道如何对设备进行root操作。仅当设备启用了调试功能时，ADB功能才起作用，并且需要用户启用它。

因此，只有将其设备连接到PC并启用调试功能的用户才会受到影响。如果他们的PC上有使用ADB工具的恶意应用程序，则可能会出现问题，因为该应用程序可以读取私有存储数据。

我认为Google应该只在开发人员类别中添加默认情况下禁用的功能，以允许通过ADB备份和还原应用程序。

• “ android：backupAgent ”允许使用云的备份和还原功能，如此处和此处所示：

实现应用程序的备份代理的类的名称，它是BackupAgent的子类。该属性值应该是完全限定的类名称（例如“ com.example.project.MyBackupAgent”）。但是，作为简写形式，如果名称的第一个字符是句点（例如，“。MyBackupAgent”），则会将其附加到元素中指定的包名称中。没有默认值。必须指定名称。

这不是安全问题。

对于此棉绒警告，与所有其他棉绒警告一样，请注意，除了单行错误消息中的内容以外，您还可以获得更完整的解释；您无需在网络上搜索更多信息。

如果您是通过Eclipse使用棉绒，请打开棉绒警告视图，在其中可以选择棉绒错误并查看详细说明，或者在错误行上调用快速修复（Ctrl-1），其中一项建议是“解释此问题”，这还将弹出更详细的说明。如果您未使用Eclipse，则可以从lint（lint --html <filename>）生成HTML报告，该报告在警告旁边包含完整的说明，或者您可以要求lint解释特定问题。例如，与相关的问题allowBackup具有ID AllowBackup（显示在错误消息的末尾），因此更完整的解释是：

$ ./lint --show AllowBackup
AllowBackup
-----------
Summary: Ensure that allowBackup is explicitly set in the application's
manifest

Priority: 3 / 10
Severity: Warning
Category: Security

该allowBackup属性确定是否可以备份和还原应用程序的数据，如此处所述。

默认情况下，此标志设置为true。当此标志设置true为时，用户可以使用adb backup和备份和还原应用程序数据adb restore。

这可能会对应用程序造成安全后果。adb backup允许启用USB调试的用户将应用程序数据复制到设备之外。备份后，用户可以读取所有应用程序数据。adb restore允许从用户指定的源创建应用程序数据。还原后，应用程序不应假定数据，文件权限和目录权限是由应用程序本身创建的。

设置allowBackup="false"使应用程序退出备份和还原。

要解决此警告，请确定您的应用程序是否应支持备份并明确设置 android:allowBackup=(true|false)

单击此处了解更多信息

这就是这种意义上的备份的真正含义：

Android的备份服务允许您将持久性应用程序数据复制到远程“云”存储中，以便为应用程序数据和设置提供还原点。如果用户执行恢复出厂设置或转换为新的Android设备，则当重新安装该应用程序时，系统会自动还原您的备份数据。这样，您的用户无需重现以前的数据或应用程序设置。

〜来自http://developer.android.com/guide/topics/data/backup.html

您可以在此处以开发人员身份注册此备份服务：https : //developer.android.com/google/backup/signup.html

可以备份的数据类型是文件，数据库，sharedPreferences，缓存和lib。这些通常存储在设备的/data/data/[com.myapp]目录中，该目录已被读取保护，除非具有root特权，否则无法访问。

更新：您可以在BackupManager的api文档上看到此标志：BackupManager

这没有明确提及，但是基于以下文档，我认为这意味着应用程序需要声明并实现BackupAgent才能使数据备份正常工作，即使allowBackup设置为true时（默认值）。

http://developer.android.com/reference/android/R.attr.html#allowBackup http://developer.android.com/reference/android/app/backup/BackupManager.html http://developer.android。 com / guide / topics / data / backup.html

这是隐私问题。如果包含敏感数据的应用程序，建议禁止用户备份。有权访问备份文件（即，当时android:allowBackup="true"），即使在非root用户的设备上也可以修改/读取应用程序的内容。

解决方案- android:allowBackup="false"在清单文件中使用。

您可以阅读这篇文章以了解更多信息： 使用备份技术入侵Android应用程序