Android 7.0 行为变更

除了新特性和功能之外，Android 7.0 还包含各种系统和 API 行为变更。本文档重点介绍了一些您应该了解并在应用中加以考虑的关键变更。

如果您之前发布过 Android 应用，请注意您的应用可能会受到平台中这些变更的影响。

电池和内存

Android 7.0 包含旨在改善设备电池续航时间和减少 RAM 使用的系统行为变更。这些变更可能会影响您的应用对系统资源的访问，以及您的应用通过某些隐式 Intent 与其他应用交互的方式。

低电耗模式

Doze 于 Android 6.0（API 级别 23）中引入，通过延迟设备未连接电源、静止且屏幕关闭时的 CPU 和网络活动来改善电池续航时间。Android 7.0 通过在设备未连接电源且屏幕关闭但并非一定静止时（例如，当手机在用户的口袋里移动时）应用一组 CPU 和网络限制，进一步增强了 Doze 功能。

图 1. 说明了 Doze 如何应用第一级系统活动限制以改善电池续航时间。

当设备使用电池供电且屏幕已关闭一段时间后，设备会进入低电耗模式并应用第一组限制：它会关闭应用网络访问，并延迟作业和同步。如果设备在进入低电耗模式后静止一段时间，系统会对 PowerManager.WakeLock、AlarmManager 闹钟、GPS 和 Wi-Fi 扫描应用其余的低电耗模式限制。无论应用部分或全部低电耗模式限制，系统都会唤醒设备进行短暂的维护窗口，在此期间允许应用进行网络访问并执行任何延迟的作业/同步。

图 2. 说明了设备静止一段时间后，Doze 如何应用第二级系统活动限制。

请注意，点亮屏幕或连接设备会退出低电耗模式并移除这些处理限制。此额外行为不会影响您根据 Android 6.0（API 级别 23）中引入的先前版本 Doze 调整应用的建议和最佳实践，如优化低电耗模式和应用待机模式中所述。您仍应遵循这些建议，例如使用 Firebase Cloud Messaging (FCM) 收发消息，并开始规划更新以适应新增的 Doze 行为。

Project Svelte：后台优化

Android 7.0 移除了三个隐式广播，以帮助优化内存使用和功耗。此项变更很有必要，因为隐式广播经常会启动已注册在后台侦听它们的应用。移除这些广播可以显著提升设备性能和用户体验。

移动设备会频繁发生连接更改，例如在 Wi-Fi 和移动数据之间切换。目前，应用可以通过在其清单中注册隐式 CONNECTIVITY_ACTION 广播的接收器来监控连接更改。由于许多应用都注册接收此广播，单个网络切换可能会导致它们全部同时唤醒并处理该广播。

同样，在早期版本的 Android 中，应用可以注册接收来自其他应用（例如相机）的隐式 ACTION_NEW_PICTURE 和 ACTION_NEW_VIDEO 广播。当用户使用相机应用拍照时，这些应用会唤醒以处理该广播。

为缓解这些问题，Android 7.0 采用了以下优化措施：

• 定位到 Android 7.0（API 级别 24）及更高版本的应用，如果在其清单中声明了广播接收器，则不会接收到 CONNECTIVITY_ACTION 广播。如果应用使用 Context.registerReceiver() 注册其 BroadcastReceiver 并且该上下文仍然有效，则仍然会接收到 CONNECTIVITY_ACTION 广播。
• 系统不再发送 ACTION_NEW_PICTURE 或 ACTION_NEW_VIDEO 广播。此优化会影响所有应用，而不仅是定位到 Android 7.0 的应用。

如果您的应用使用了任何这些 Intent，您应该尽快移除对其的依赖，以便能够正确地适配 Android 7.0 设备。Android 框架提供了几种解决方案来缓解对这些隐式广播的需求。例如，JobScheduler API 提供了一种稳健的机制，可在满足指定条件（例如连接到不按流量计费的网络）时安排网络操作。您甚至可以使用 JobScheduler 来对内容提供程序的变化作出反应。

要详细了解 Android 7.0（API 级别 24）中的后台优化以及如何调整您的应用，请参阅后台优化。

权限变更

Android 7.0 包含可能影响您的应用的权限变更。

文件系统权限变更

为提高私有文件的安全性，定位到 Android 7.0 或更高版本的应用的私有目录具有受限的访问权限（0700）。此设置可防止私有文件元数据的泄露，例如其大小或是否存在。此权限变更会带来多重副作用：

• 所有者不应再放宽私有文件的文件权限，尝试使用 MODE_WORLD_READABLE 和/或 MODE_WORLD_WRITEABLE 放宽权限将触发 SecurityException。

  注意：目前，此限制尚未完全强制执行。应用仍可以使用原生 API 或 File API 修改其私有目录的权限。但是，我们强烈不建议放宽私有目录的权限。

• 在包域之外传递 file:// URI 可能会导致接收者无法访问路径。因此，尝试传递 file:// URI 会触发 FileUriExposedException。分享私有文件内容的推荐方式是使用 FileProvider。
• DownloadManager 不再能按文件名分享私有存储的文件。旧版应用在访问 COLUMN_LOCAL_FILENAME 时可能会遇到无法访问的路径。定位到 Android 7.0 或更高版本的应用在尝试访问 COLUMN_LOCAL_FILENAME 时会触发 SecurityException。使用 DownloadManager.Request.setDestinationInExternalFilesDir() 或 DownloadManager.Request.setDestinationInExternalPublicDir() 将下载位置设置为公共位置的旧版应用仍然可以访问 COLUMN_LOCAL_FILENAME 中的路径，但强烈不建议使用此方法。访问由 DownloadManager 公开的文件的首选方法是使用 ContentResolver.openFileDescriptor()。

在应用之间共享文件

对于定位到 Android 7.0 的应用，Android 框架会强制执行 StrictMode API 政策，禁止在应用外部公开 file:// URI。如果 Intent 包含文件 URI 并离开您的应用，则应用会因 FileUriExposedException 异常而失败。

为了在应用之间共享文件，您应该发送一个 content:// URI 并授予该 URI 的临时访问权限。授予此权限的最简单方法是使用 FileProvider 类。有关权限和文件共享的更多信息，请参阅共享文件。

无障碍功能改进

Android 7.0 包含旨在改善平台对视力低下或受损用户的可用性的变更。这些变更通常无需您的应用进行代码修改，但是您应该检查这些功能并在应用中测试它们，以评估对用户体验的潜在影响。

屏幕缩放

Android 7.0 允许用户设置显示尺寸，该设置会放大或缩小屏幕上的所有元素，从而改善视力低下用户的设备无障碍功能。用户无法将屏幕缩放到小于 sw320dp 的最小屏幕宽度，该宽度是 Nexus 4（一种常见的中等尺寸手机）的宽度。

图 3. 右侧屏幕显示了增加运行 Android 7.0 系统映像的设备的显示尺寸的效果。

当设备密度更改时，系统会通过以下方式通知正在运行的应用：

• 如果应用定位到 API 级别 23 或更低版本，系统会自动终止其所有后台进程。这意味着，如果用户从此类应用切换到打开设置屏幕并更改显示尺寸设置，系统会像在低内存情况下一样终止该应用。如果应用有任何前台进程，系统会按照处理运行时更改中的说明通知这些进程配置更改，就像设备的屏幕方向已更改一样。
• 如果应用定位到 Android 7.0，其所有进程（前台和后台）都会按照处理运行时更改中的说明收到配置更改的通知。

大多数应用无需进行任何更改即可支持此功能，前提是应用遵循 Android 最佳实践。需要检查的具体事项包括：

• 在屏幕宽度为 sw320dp 的设备上测试您的应用，并确保其性能足够好。
• 当设备配置更改时，更新任何依赖于密度的缓存信息，例如缓存的位图或从网络加载的资源。在应用从暂停状态恢复时检查配置更改。

  注意：如果您缓存了依赖于配置的数据，最好包含相关的元数据，例如该数据对应的屏幕尺寸或像素密度。保存这些元数据可以帮助您确定在配置更改后是否需要刷新缓存的数据。

• 避免使用 px 单位指定尺寸，因为它们不随屏幕密度缩放。相反，请使用密度无关像素（dp）单位指定尺寸。

安装向导中的视力设置

Android 7.0 的欢迎屏幕中包含视力设置，用户可以在新设备上设置以下无障碍功能设置：放大手势、字体大小、显示尺寸和 TalkBack。此项变更提高了与不同屏幕设置相关的错误的可发现性。要评估此功能的影响，您应该启用这些设置来测试您的应用。您可以在设置 > 无障碍功能下找到这些设置。

链接到平台库的 NDK 应用

从 Android 7.0 开始，系统会阻止应用动态链接到非 NDK 库，这可能会导致您的应用崩溃。此行为变更旨在跨平台更新和不同设备创建一致的应用体验。即使您的代码可能没有链接到私有库，您的应用中的第三方静态库也可能正在这样做。因此，所有开发者都应检查以确保其应用不会在运行 Android 7.0 的设备上崩溃。如果您的应用使用原生代码，则应仅使用公共 NDK API。

您的应用可能正在尝试访问私有平台 API 的三种方式如下：

• 您的应用直接访问私有平台库。您应该更新您的应用，使其包含这些库的自有副本或使用公共 NDK API。
• 您的应用使用了访问私有平台库的第三方库。即使您确定您的应用没有直接访问私有库，您仍应测试您的应用是否存在这种情况。
• 您的应用引用了一个未包含在其 APK 中的库。例如，如果您尝试使用自己的 OpenSSL 副本但忘记将其与应用的 APK 打包在一起，就可能发生这种情况。应用可能在包含 libcrypto.so 的 Android 平台版本上正常运行。然而，应用可能在不包含此库的更高版本 Android 上崩溃（例如 Android 6.0 及更高版本）。要解决此问题，请确保将所有非 NDK 库与您的 APK 打包在一起。

应用不应使用不包含在 NDK 中的原生库，因为它们可能会在不同版本的 Android 之间更改或被移除。从 OpenSSL 切换到 BoringSSL 就是此类更改的一个示例。此外，由于对不包含在 NDK 中的平台库没有兼容性要求，不同设备可能会提供不同程度的兼容性。

为了减少此限制对当前已发布应用可能产生的影响，对于定位到 API 级别 23 或更低版本的应用，一套使用率较高的库（例如 libandroid_runtime.so、libcutils.so、libcrypto.so 和 libssl.so）在 Android 7.0（API 级别 24）上暂时可访问。如果您的应用加载了这些库中的一个，logcat 会生成警告，并且目标设备上会显示一个 toast 通知您。如果您看到这些警告，应更新您的应用，使其包含这些库的自有副本或仅使用公共 NDK API。未来发布的 Android 平台可能会完全限制使用私有库，并导致您的应用崩溃。

所有应用在调用既非公共也非临时可访问的 API 时会生成运行时错误。结果是 System.loadLibrary 和 dlopen(3) 都返回 NULL，并可能导致您的应用崩溃。您应该检查您的应用代码，移除对私有平台 API 的使用，并使用运行 Android 7.0（API 级别 24）的设备或模拟器彻底测试您的应用。如果您不确定您的应用是否使用了私有库，可以查看 logcat 来识别运行时错误。

下表描述了应用根据其使用的私有原生库及其目标 API 级别（android:targetSdkVersion）应预期的行为。

检查您的应用是否使用了私有库

为帮助您识别加载私有库的问题，logcat 可能会生成警告或运行时错误。例如，如果您的应用定位到 API 级别 23 或更低版本，并且尝试在运行 Android 7.0 的设备上访问私有库，您可能会看到类似于以下内容的警告：

03-21 17:07:51.502 31234 31234 W linker  : library "libandroid_runtime.so"
("/system/lib/libandroid_runtime.so") needed or dlopened by
"/data/app/com.popular-app.android-2/lib/arm/libapplib.so" is not accessible
for the namespace "classloader-namespace" - the access is temporarily granted
as a workaround for http://b/26394120

这些 logcat 警告会告知您是哪个库正在尝试访问私有平台 API，但不会导致您的应用崩溃。然而，如果应用定位到 API 级别 24 或更高版本，logcat 会生成以下运行时错误，并且您的应用可能会崩溃：

java.lang.UnsatisfiedLinkError: dlopen failed: library "libcutils.so"
("/system/lib/libcutils.so") needed or dlopened by
"/system/lib/libnativeloader.so" is not accessible for the namespace
"classloader-namespace"
  at java.lang.Runtime.loadLibrary0(Runtime.java:977)
  at java.lang.System.loadLibrary(System.java:1602)

如果您的应用使用动态链接到私有平台 API 的第三方库，您也可能会看到这些 logcat 输出。Android 7.0DK 中的 readelf 工具允许您通过运行以下命令生成给定 .so 文件所有动态链接共享库的列表：

aarch64-linux-android-readelf -dW libMyLibrary.so

更新您的应用

以下是您可以采取的一些步骤，以修复这些类型的错误并确保您的应用在未来的平台更新中不会崩溃：

• 如果您的应用使用了私有平台库，您应该更新它以包含这些库的自有副本或使用公共 NDK API。
• 如果您的应用使用访问私有符号的第三方库，请联系库作者更新该库。
• 确保将所有非 NDK 库与您的 APK 打包在一起。
• 使用标准 JNI 函数，而不是来自 libandroid_runtime.so 的 getJavaVM 和 getJNIEnv 函数

  AndroidRuntime::getJavaVM -> GetJavaVM from <jni.h>
  AndroidRuntime::getJNIEnv -> JavaVM::GetEnv or
  JavaVM::AttachCurrentThread from <jni.h>.
  

• 使用 __system_property_get，而不是来自 libcutils.so 的私有 property_get 符号。为此，请将以下 include 与 __system_property_get 一起使用：

  #include <sys/system_properties.h>

  注意：系统属性的可用性和内容未通过 CTS 进行测试。更好的修复方法是完全避免使用这些属性。

• 使用来自 libcrypto.so 的 SSL_ctrl 符号的本地版本。例如，您应该在 .so 文件中静态链接 libcyrpto.a，或者包含 BoringSSL/OpenSSL 中动态链接的 libcrypto.so 版本并将其打包到您的 APK 中。

Android for Work

Android 7.0 包含面向 Android for Work 应用的变更，包括证书安装、密码重置、辅助用户管理和设备标识符访问方面的变更。如果您正在为 Android for Work 环境构建应用，应检查这些变更并相应地修改您的应用。

• 在 DPC 设置委托证书安装程序之前，您必须先安装它。对于定位到 Android 7.0（API 级别 24）的资料所有者和设备所有者应用，您应该在设备政策控制器 (DPC) 调用 DevicePolicyManager.setCertInstallerPackage() 之前安装委托证书安装程序。如果安装程序尚未安装，系统将抛出 IllegalArgumentException。
• 设备管理员的密码重置限制现在适用于资料所有者。设备管理员不能再使用 DevicePolicyManager.resetPassword() 清除密码或更改已设置的密码。设备管理员仍然可以设置密码，但仅限于设备没有密码、PIN 或图案时。
• 设备所有者和资料所有者即使设置了限制，也可以管理账号。即使存在 DISALLOW_MODIFY_ACCOUNTS 用户限制，设备所有者和资料所有者也可以调用 Account Management API。
• 设备所有者可以更轻松地管理辅助用户。当设备在设备所有者模式下运行时，DISALLOW_ADD_USER 限制会自动设置。这可以防止用户创建未受管理的辅助用户。此外，CreateUser() 和 createAndInitializeUser() 方法已被弃用；新的 DevicePolicyManager.createAndManageUser() 方法取代了它们。
• 设备所有者可以访问设备标识符。设备所有者可以使用 DevicePolicyManager.getWifiMacAddress() 访问设备的 Wi-Fi MAC 地址。如果设备上从未启用 Wi-Fi，此方法将返回 null 值。
• 工作模式设置控制对工作应用的访问。工作模式关闭时，系统启动器会将工作应用置灰以指示其不可用。再次启用工作模式会恢复正常行为。
• 通过“设置”界面安装包含客户端证书链和相应私钥的 PKCS #12 文件时，链中的 CA 证书不再安装到信任凭据存储区。这不会影响应用稍后尝试检索客户端证书链时 KeyChain.getCertificateChain() 的结果。如果需要，CA 证书应通过“设置”界面单独安装到信任凭据存储区，文件格式为 DER 编码，文件扩展名为 .crt 或 .cer。
• 从 Android 7.0 开始，指纹注册和存储按用户管理。如果在运行 Android 7.0（API 级别 24）的设备上，资料所有者的设备政策客户端 (DPC) 定位到 API 级别 23（或更低版本），用户仍然可以在设备上设置指纹，但工作应用无法访问设备指纹。当 DPC 定位到 API 级别 24 及更高版本时，用户可以通过转到设置 > 安全 > 工作资料安全，专门为工作资料设置指纹。
• DevicePolicyManager.getStorageEncryptionStatus() 会返回新的加密状态 ENCRYPTION_STATUS_ACTIVE_PER_USER，表示加密已激活且加密密钥绑定到用户。只有当 DPC 定位到 API 级别 24 及更高版本时，才会返回新的状态。对于定位到早期 API 级别的应用，即使加密密钥特定于用户或资料，也会返回 ENCRYPTION_STATUS_ACTIVE。
• 在 Android 7.0 中，如果设备安装了带有单独工作挑战的工作资料，则通常会影响整个设备的几个方法会表现出不同的行为。这些方法并非影响整个设备，而是仅应用于工作资料。（此类方法的完整列表位于 DevicePolicyManager.getParentProfileInstance() 文档中。）例如，DevicePolicyManager.lockNow() 仅锁定工作资料，而不是锁定整个设备。对于这些方法中的每一个，您都可以通过在 DevicePolicyManager 的父实例上调用该方法来获得旧的行为；您可以通过调用 DevicePolicyManager.getParentProfileInstance() 来获取此父实例。因此，例如，如果您调用父实例的 lockNow() 方法，整个设备都会被锁定。

注解保留策略

Android 7.0 修复了一个忽略注解可见性的 bug。这个问题导致运行时可以访问不应访问的注解。这些注解包括：

• VISIBILITY_BUILD：旨在仅在构建时可见。
• VISIBILITY_SYSTEM：旨在在运行时可见，但仅对底层系统可见。

如果您的应用依赖于此行为，请为必须在运行时可用的注解添加保留策略。您可以通过使用 @Retention(RetentionPolicy.RUNTIME) 来实现。

TLS/SSL 默认配置变更

Android 7.0 对应用用于 HTTPS 和其他 TLS/SSL 流量的默认 TLS/SSL 配置进行了以下变更：

• RC4 密码套件现在已禁用。
• CHACHA20-POLY1305 密码套件现在已启用。

默认禁用 RC4 可能会导致服务器在不协商现代密码套件时，HTTPS 或 TLS/SSL 连接中断。首选的修复方法是改进服务器的配置，以启用更强大、更现代的密码套件和协议。理想情况下，应启用 TLSv1.2 和 AES-GCM，并应启用和优先使用前向保密 (Forward Secrecy) 密码套件 (ECDHE)。

另一种方法是修改应用，使其使用自定义的 SSLSocketFactory 与服务器通信。工厂应设计为创建 SSLSocket 实例，这些实例除了默认密码套件外，还启用了服务器要求的一些密码套件。

注意：这些变更不涉及 WebView。

定位到 Android 7.0 的应用

这些行为变更仅适用于定位到 Android 7.0（API 级别 24）或更高版本的应用。针对 Android 7.0 编译或将 targetSdkVersion 设置为 Android 7.0 或更高版本的应用，必须根据应用适用的情况修改其应用以正确支持这些行为。

序列化变更

Android 7.0（API 级别 24）修复了默认 serialVersionUID 计算中的一个 bug，之前其计算方式与规范不符。

实现了 Serializable 但未指定显式 serialVersionUID 字段的类，其默认 serialVersionUID 可能会发生变化，这可能导致在尝试反序列化在早期版本上序列化或由定位到早期版本的应用序列化的类实例时抛出异常。错误消息看起来会像这样：

local class incompatible: stream classdesc serialVersionUID = 1234, local class serialVersionUID = 4567

修复这些问题需要向任何受影响的类添加一个 serialVersionUID 字段，其值为错误消息中的 stream classdesc serialVersionUID，例如此处为 1234。此更改遵循了所有编写序列化代码的良好实践建议，并且适用于所有版本的 Android。

修复的具体 bug 与静态初始化方法的存在有关，即 <clinit>。根据规范，类中是否存在静态初始化方法会影响为该类计算的默认 serialVersionUID。在修复 bug 之前，如果类本身没有静态初始化方法，计算过程也会检查超类是否有静态初始化方法。

需要明确的是，此项变更不会影响定位到 API 级别 23 或更低版本的应用、具有 serialVersionUID 字段的类或具有静态初始化方法的类。

其他重要事项

• 当应用在 Android 7.0 上运行但定位到较低的 API 级别，并且用户更改显示尺寸时，应用进程会被终止。应用必须能够优雅地处理这种情况。否则，当用户从最近的应用中恢复它时，它会崩溃。

  您应该测试您的应用，确保不会发生此行为。您可以通过在 DDMS 中手动终止应用时触发相同的崩溃来做到这一点。

  定位到 Android 7.0（API 级别 24）及更高版本的应用不会因密度更改而自动终止；但是，它们可能仍然对配置更改响应不良。

• Android 7.0 上的应用应该能够优雅地处理配置更改，并且不应在后续启动时崩溃。您可以通过更改字体大小（设置 > 显示 > 字体大小），然后从最近的应用中恢复应用来验证应用的行为。
• 由于早期版本的 Android 中的一个 bug，系统没有将主线程上对 TCP 套接字的写入标记为严格模式违规。Android 7.0 修复了此 bug。表现出此行为的应用现在会抛出 android.os.NetworkOnMainThreadException。通常，在主线程上执行网络操作是个坏主意，因为这些操作通常延迟很高，会导致 ANR 和卡顿。
• Debug.startMethodTracing() 系列方法现在默认将输出存储在共享存储上的包特定目录中，而不是 SD 卡的根目录。这意味着应用不再需要请求 WRITE_EXTERNAL_STORAGE 权限即可使用这些 API。
• 许多平台 API 现在开始检查通过 Binder 事务发送的大型负载，系统现在会将 TransactionTooLargeExceptions 重新抛出为 RuntimeExceptions，而不是默默地记录或抑制它们。一个常见的示例是在 Activity.onSaveInstanceState() 中存储过多数据，这会导致当您的应用定位到 Android 7.0 时，ActivityThread.StopInfo 抛出 RuntimeException。
• 如果应用将 Runnable 任务发布到 View，并且该 View 未附加到窗口，系统会将 Runnable 任务与该 View 一起排队；Runnable 任务不会执行，直到该 View 附加到窗口。此行为修复了以下 bug：
  • 如果应用从非预期窗口的 UI 线程的其他线程发布到 View，Runnable 任务可能会因此在错误的线程上运行。
  • 如果 Runnable 任务从非 looper 线程的其他线程发布，应用可能会暴露该 Runnable 任务。
• 如果 Android 7.0 上具有 DELETE_PACKAGES 权限的应用尝试删除一个包，但该包是由不同的应用安装的，则系统会要求用户确认。在这种情况下，应用在调用 PackageInstaller.uninstall() 时，应该预期返回状态为 STATUS_PENDING_USER_ACTION。
• 名为 Crypto 的 JCA 提供程序已弃用，因为其唯一的算法 SHA1PRNG 在加密方面较弱。应用不再能使用 SHA1PRNG（不安全地）派生密钥，因为此提供程序不再可用。更多信息，请参阅博文Security "Crypto" provider deprecated in Android N。