【权限问题专项】短信权限合理使用场景VS不合理使用场景说明

上篇文章对位置权限的合理使用场景、不合理使用场景进行了详细说明，本文将对短信权限的合理使用场景、不合理使用场景进行梳理总结。下图为《绿标5.0安全标准》对于短信权限的要求：

1.android.permission.SEND_SMS

权限定义：允许应用程序发送短信。

合理使用场景

1）便捷生活类：在支付场景中，用户密码安全级别较低时，为确认是否为本机操作，发送特定短信指令进行安全认证；

2）实用工具类：以便利用户操作为目的，APP帮助用户发送特定短信指令至特定号码，查询相关信息或订阅服务的场景，如流量余额查询或者向运营商发送流量校准短信；

3）运动健康类：手环/手表与手机蓝牙配对连接以后，当手机侧来电话时，在手表侧会显示短信拒接的选项，用户在手环/手表上点击拒接后，会通过APP直接向对方发送相应的拒接短信。

不合理使用场景

1）实用工具类、金融理财类、游戏类、影音娱乐类等：在用户注册、登录账号的场景下，用户输入手机号码后，点击获取验证码时申请此权限；

2）便捷生活类：在用户邀请通讯录好友注册登录使用某应用的场景下，给被邀请用户发送短信。点击邀请之后就会打开手机短信发送页面，点击“发送”按钮后，邀请好友的信息就会以手机短信的形式发送出去。

2.android.permission.RECEIVE_SMS、

android.permission.READ_SMS：

权限定义：

1）android.permission.RECEIVE_SMS：允许应用程序监听用户手机上接收到的短信；

2）android.permission.READ_SMS：允许应用程序读取用户手机上的短信。

合理使用场景

实用工具类：①用于流量校准时，接收运营商发送的短信，方便进行流量校准；②以帮助用户拦截、屏蔽用户不期望接收的短信信息为目的，APP识别并处置相关短信信息的场景；③智慧语音读取短信内容。

不合理使用场景

在用户注册、登录账号的场景下，用户输入手机号码后，点击获取验证码，用户收到短信后，应用程序自动识别短信内容，并将验证码显示在键盘上。

3.总结

1）动态授权：APP应基于自身业务功能和场景，以权限申请最小化为原则，仅在业务功能触发时，向用户申请必要的短信权限。在合理的使用场景中，应动态弹窗申请相应权限，不应提前或过度申请。

2）动态短信密码和帐号验证的可实现方案：SMS Retriever API 可使应用自动以短信方式执行用户验证，不需要用户手动输入验证码，也无需任何额外的应用权限。如果 SMS Retriever API 不适用，用户也可以手动输入验证码。

以上就是短信权限的内容，后续还会发布电话、通讯录、存储、无障碍、设备管理器、通知栏、悬浮窗的内容，请持续关注软件绿色联盟。