All posts tagged: iOS开发

软件封装（Software Packaging）是指将软件应用及其依赖环境打包成统一的、可分发、可执行的格式，如APK、EXE、容器镜像等。随着软件复杂度和分发环境多样化，封装的安全性成为保障应用正常运行、抵御攻击的重要一环。软件封装的安全性如何保障？

一、软件封装面临的安全威胁

封装软件本质上是将代码和资源“封闭”起来，但在实际环境中存在多种安全威胁：

• 代码篡改与逆向工程
  攻击者可能反编译或篡改封装软件，植入恶意代码或破解授权。
• 恶意注入与依赖链攻击
  软件依赖的第三方库或组件可能含有漏洞或后门，导致封装产品被攻击面扩大。
• 敏感信息泄露
  在封装过程中，若硬编码密钥、配置或凭证被包含，容易被提取利用。
• 运行时环境攻击
  封装软件在运行时可能受到沙箱逃逸、调试注入、内存篡改等动态攻击。
• 分发渠道被劫持
  软件包在传输或分发环节被替换为恶意版本。

---

二、保障软件封装安全的关键技术

1. 完整性保护 — 数字签名与哈希校验

数字签名机制确保软件包未被篡改：

• 签名过程：开发者使用私钥对软件包的哈希值进行签名，用户侧用公钥验证。
• 作用：防止下载过程中被替换或恶意修改。
• 示例：Android APK通过 apksigner 进行签名，Windows EXE使用代码签名证书。

技术	描述	工具示例
数字签名	保证文件来源及内容未被篡改	apksigner、SignTool
哈希校验	验证文件完整性，快速检测修改	SHA-256、MD5

2. 代码混淆与加固

混淆能有效防止逆向工程：

• 代码混淆：重命名类名、方法名，隐藏代码逻辑。
• 代码加固：通过加壳、反调试、反注入技术提升破解门槛。
• 典型工具：ProGuard、DexGuard、360加固保。

示例：微信APP使用多层混淆和加固技术，极大增加了逆向难度。

3. 依赖安全管理

• 依赖审计：自动化扫描第三方库漏洞，如使用OWASP Dependency-Check。
• 版本控制：使用经过验证的安全版本，避免已知漏洞。
• 最小权限依赖：减少不必要的库和功能模块，降低攻击面。

4. 敏感信息防泄露

• 配置分离：避免将密钥、密码硬编码进包内，改用安全配置服务或环境变量。
• 加密存储：对配置和数据使用强加密算法保护。
• 运行时安全模块：如Android的Keystore，确保密钥在安全硬件中管理。

5. 运行时防护

• 沙箱机制：限制应用访问系统资源和其他进程。
• 行为监控：动态检测异常行为（如恶意内存操作、非法网络请求）。
• 反调试技术：检测调试器附加，阻止动态分析。

---

三、软件封装安全保障的流程与实践

结合以上技术，构建一个闭环的安全保障流程：

mermaid复制编辑flowchart TD
    A[软件开发] --> B[依赖安全审计]
    B --> C[代码混淆与加固]
    C --> D[数字签名与完整性校验]
    D --> E[安全测试（静态+动态）]
    E --> F[分发渠道安全保障]
    F --> G[运行时监控与反馈]

1. 开发阶段

安全编码规范，避免硬编码秘密，做好依赖管理。

2. 编译与打包阶段

混淆加固、签名认证。

3. 测试阶段

结合静态代码分析工具（如 SonarQube）、动态沙箱测试确保无安全隐患。

4. 分发阶段

通过HTTPS、数字签名验证及安全应用商店分发，防止中间人攻击。

5. 运行阶段

监控运行行为，及时发现异常并反馈至开发团队。

---

四、实际案例说明

案例：容器镜像封装安全保障

在云原生环境，应用常以容器镜像分发。镜像本质上是软件封装的一种。

• 威胁：镜像中可能包含未修补漏洞的系统包或敏感配置。
• 保障措施：
  • 使用可信的基础镜像。
  • 扫描镜像漏洞工具，如Trivy、Clair。
  • 镜像签名（如Notary）保证镜像完整性。
  • 运行时限制容器权限，启用安全配置如AppArmor、SELinux。

---

五、软件封装安全的未来趋势

• 零信任模型集成：封装软件将集成身份验证与最小权限原则，动态调整权限。
• 自动化安全扫描与响应：CI/CD流程内嵌安全扫描，实现持续保障。
• 硬件安全模块结合：利用TPM、安全芯片为封装软件提供可信执行环境（TEE）。
• 人工智能辅助检测：通过机器学习提升异常行为检测的准确度。

---

通过系统化的多层防护技术和流程管理，可以显著提升软件封装的安全性，保障软件在分发与运行全生命周期的完整性与可信度。

随着移动应用市场的快速发展，iOS 应用的安全性问题日益受到关注。IPA（iOS App Store Package）文件作为 iOS 应用的安装包，承载着应用的代码、资源和配置文件。如果 IPA 文件未加密，攻击者可以轻易地进行反编译、篡改代码、绕过应用内购等恶意操作。因此，对 IPA 文件进行有效加密至关重要。IPA 文件如何加密？全面解析 iOS 应用安全保护方案本文将深入探讨 IPA 文件加密的技术方案，包括苹果官方的加密机制、常见的第三方加密方案、企业级加密策略等，并结合实际案例进行说明。

---

1. iOS 官方的 IPA 文件加密机制

苹果公司为 iOS 应用提供了一整套安全防护机制，其中包括FairPlay DRM（数字版权管理）。官方的 IPA 文件加密主要体现在以下几个方面：

1.1 FairPlay DRM 保护

FairPlay DRM 是苹果公司用于 iOS 应用的官方加密机制，主要目的是防止未授权的安装和使用。它的工作原理如下：

1. 应用上架 App Store：开发者提交应用到 App Store，苹果会对应用进行审核。
2. 应用加密：应用通过 FairPlay DRM 进行加密，核心代码段（__TEXT 段）会被加密存储。
3. 用户下载应用：用户从 App Store 下载应用后，应用仍然是加密的。
4. 运行时解密：当用户启动应用时，iOS 系统会使用设备的 Secure Enclave 芯片进行解密，仅限运行时解密，并不会将解密后的代码存储到磁盘。

1.2 iOS 沙箱机制

即使 IPA 文件被解密，iOS 的沙箱机制仍然能够提供一定的保护：

• 每个应用运行在独立的沙箱中，无法直接访问其他应用的数据。
• 关键数据可以存储在 Keychain 中，避免被普通文件管理工具读取。
• iOS 提供了 NSFileProtection 机制，可以为存储文件设置额外的加密保护。

然而，FairPlay DRM 仅对 App Store 分发的应用有效，对于企业签名（Enterprise Certificate）和越狱环境下的 IPA 文件，攻击者仍然有可能对应用进行逆向分析。因此，开发者需要额外的加密手段来保护 IPA 文件。

---

2. 第三方 IPA 文件加密方案

针对企业内部应用分发或越狱环境下的 IPA 保护，开发者可以采用多种第三方加密技术，如代码混淆、运行时加密、自定义加密算法等。

2.1 代码混淆

代码混淆（Obfuscation）是一种最常见的防逆向手段，主要通过修改代码结构和符号名称，使得攻击者更难分析应用逻辑。

常见的代码混淆技术：

代码混淆技术	说明	适用范围
符号重命名	将类名、方法名、变量名替换成随机字符串，如A1B2C3	Objective-C 和 Swift
控制流扭曲	修改代码逻辑，使其执行路径难以理解	关键业务逻辑
插入无用代码	添加冗余逻辑，增加分析难度	所有代码
动态 API 调用	采用dlopen或dlsym动态加载函数，隐藏真实调用	反调试、加密代码

示例：

// 原始代码
NSString *password = @"secret123";
NSLog(@"Password: %@", password);

// 混淆后
NSString *p1 = @"s";
NSString *p2 = @"ecret";
NSString *p3 = @"123";
NSString *password = [NSString stringWithFormat:@"%@%@%@", p1, p2, p3];
NSLog(@"Password: %@", password);

此方式增加了静态分析的难度，但仍然可以被动态调试破解，因此需要结合其他加密手段。

---

2.2 运行时加密（Runtime Encryption）

运行时加密指的是在应用运行过程中动态解密关键代码，而非直接存储明文代码。常见方法包括：

1. 代码段加密：对可执行代码进行 AES 加密，在运行时解密后加载到内存。
2. 字符串加密：使用加密算法对敏感字符串（如 API Key、密钥）加密，运行时解密。
3. 动态 Hook 保护：检测并防止调试器或越狱工具 Hook 关键 API，如ptrace()和sysctl()。

示例：

char encryptedString[] = {0x5A, 0x6F, 0x72, 0x72, 0x79};  // 加密数据
for (int i = 0; i < sizeof(encryptedString); i++) {
    encryptedString[i] ^= 0x12;  // 运行时解密
}
NSLog(@"Decrypted String: %s", encryptedString);

---

2.3 自定义加密方案

除了代码混淆和运行时加密，开发者还可以采用自定义加密算法，如 AES、RSA、XOR 等，对关键数据进行保护。

IPA 文件加密流程示意图

+---------------------+
|  原始 IPA 文件      |
+---------------------+
        ↓  (AES加密)
+---------------------+
|  加密的 IPA 文件    |
+---------------------+
        ↓  (Base64编码)
+---------------------+
|  可安全分发的文件  |
+---------------------+

开发者可以使用 CCCrypt（CommonCrypto）框架来实现 AES 加密：

NSData *data = [@"Sensitive Data" dataUsingEncoding:NSUTF8StringEncoding];
NSData *encryptedData = [self AES256Encrypt:data withKey:@"your-encryption-key"];

---

3. 企业级 IPA 加密方案

对于企业应用，特别是内部分发的 IPA 文件，加密需求更为严格。可以采取以下策略：

1. MDM（移动设备管理）：使用 MDM 限制设备安装未授权应用，并强制应用加密存储数据。
2. App Transport Security（ATS）：强制 HTTPS 连接，避免明文传输敏感信息。
3. 服务器端验证：在应用启动时进行服务器端授权验证，防止 IPA 文件被滥用。
4. 代码完整性校验：应用运行时计算自身哈希值，与服务器存储的哈希值比对，防止篡改。

示例：服务器端授权流程

用户请求启动应用
        ↓
应用发送设备 ID 到服务器
        ↓
服务器验证授权状态
        ↓
授权通过，返回解密密钥
        ↓
应用解密核心代码并运行

---

4. 结语

IPA 文件加密是 iOS 应用安全防护的重要环节，开发者需要结合苹果官方的 FairPlay DRM、代码混淆、运行时加密、自定义加密算法等多种技术手段，才能有效抵御逆向分析和非法破解。企业应用还应结合 MDM、服务器端授权等机制，构建完善的安全防护体系。通过合理的加密策略，开发者可以更好地保护应用的核心资产，确保用户数据安全。

在iOS应用的开发与分发生态中，苹果开发者账号（Apple Developer Account）是开发者进入苹果平台的敲门砖。不同的账号类型适用于不同的使用场景，从个人开发者到大型企业，从测试分发到商业上架，每种账号都有其独特的功能、限制和适用性。选择合适的账号类型不仅影响开发效率，还直接关系到应用的发布策略和成本管理。本文将全面剖析苹果开发者账号类型，分析其特点与适用场景，并为开发者提供选择建议，助力在iOS生态中高效运作。

苹果开发者账号类型概览

苹果提供三种主要开发者账号类型，分别面向个体开发者、小团队和企业用户。此外，还有一些特殊用途的变体（如教育或免费账号）。以下是主要类型的详细介绍：

1. 个人开发者账号（Individual Account）

• 费用：99美元/年。
• 权限：允许开发者在App Store上架应用，访问开发者工具（如Xcode、TestFlight），并生成最多100台设备的测试证书。
• 限制：以个人身份注册，App Store显示开发者姓名；无法邀请团队成员协作。
• 注册要求：个人Apple ID和支付方式。

2. 组织开发者账号（Organization Account）

• 费用：99美元/年。
• 权限：与个人账号类似，但支持团队协作，可邀请成员分配角色（如开发者、管理员）；App Store显示公司名称。
• 限制：需要公司法人资质（如D-U-N-S邓白氏编码），注册流程稍复杂。
• 注册要求：公司Apple ID、法人信息及支付方式。

3. 企业开发者账号（Apple Developer Enterprise Program）

• 费用：299美元/年。
• 权限：专为内部应用分发设计，可签名并分发应用给无限数量的设备，无需App Store审核；支持MDM（移动设备管理）集成。
• 限制：无法上架App Store，仅限于企业内部使用；需遵守苹果严格的合规性要求。
• 注册要求：企业法人资质（D-U-N-S编码）、至少100名员工或类似规模证明。

4. 其他变体

• 免费账号：无需费用，仅限Xcode开发和真机调试，无法分发或上架。
• 教育账号：如“Apple Developer Program for Education”，面向学校或学术机构，功能有限。

下表总结了三种主要账号类型的核心差异：

账号类型	年费	App Store上架	设备限制	团队协作	适用对象
个人账号	99美元	是	100台	否	独立开发者
组织账号	99美元	是	100台	是	小型团队/公司
企业账号	299美元	否	无限制	是	大型企业内部应用

各账号类型的功能与限制分析

1. 个人开发者账号

个人账号是最基础的入门选择，适合独立开发者或小型项目。其核心功能包括：

• 开发与测试：支持Xcode完整功能，通过TestFlight分发测试版（最多100台设备）。
• 上架分发：可在App Store发布应用，覆盖全球用户。
• 成本效益：年费低廉，适合预算有限的开发者。

限制：

• 无团队协作功能，若需多人开发，需共享Apple ID，管理不便。
• 证书和设备管理单一，所有操作 привязаны（绑定）到单一账户。

适用场景：个人开发的小型应用，如独立游戏、生活工具等。例如，某开发者制作了一款天气应用，通过个人账号上架App Store，无需团队支持即可完成全流程。

2. 组织开发者账号

组织账号在个人账号基础上增加了团队协作功能，适合小型公司或开发团队。其特点包括：

• 角色分配：可添加开发者、测试者、财务管理者等角色，分担任务。
• 品牌展示：App Store显示公司名称而非个人姓名，提升专业形象。
• 开发资源：与个人账号相同，支持TestFlight和100台设备测试。

限制：

• 设备数量上限仍为100台，不适合大规模内部测试。
• 注册需公司资质，审核周期较长（通常1-2周）。

适用场景：中小型团队开发商业应用，如电商APP或教育平台。例如，某初创公司由5人团队开发社交应用，使用组织账号分工协作，最终上架App Store。

3. 企业开发者账号

企业账号专为内部应用设计，强调灵活分发而非公开上架。其优势包括：

• 无设备限制：可签名并分发给任意数量的设备，适合大规模员工使用。
• 内部管理：支持MDM系统，实现应用安装、更新和权限控制。
• 快速部署：无需苹果审核，内部上线速度快。

限制：

• 无法上架App Store，若需公开发布，需额外注册组织账号。
• 高合规性要求，若违规（如对外分发），账户可能被封禁。
• 成本较高，299美元年费对中小企业可能不划算。

适用场景：大型企业内部工具，如物流公司的司机端应用或银行的员工管理系统。例如，某跨国企业为5000名员工分发办公应用，通过企业账号实现高效部署。

如何根据需求选择合适的账号类型

选择苹果开发者账号需综合考虑开发目标、团队规模、分发需求和预算。以下从几种常见场景出发，提供选择建议：

1. 独立开发者或初学者

• 需求：开发个人项目，可能上架App Store，预算有限。
• 推荐：个人开发者账号。
• 理由：99美元的年费经济实惠，功能足以覆盖开发、上架和测试需求。例如，某学生开发者制作学习类应用，个人账号即可满足。

2. 小型团队或初创公司

• 需求：团队协作开发，计划上架App Store，需公司品牌展示。
• 推荐：组织开发者账号。
• 理由：支持多人协作，App Store显示公司名称，性价比高。例如，某3人团队开发健身应用，选择组织账号分工明确。

3. 大型企业内部应用

• 需求：内部大规模分发，无需公开发布，需快速部署。
• 推荐：企业开发者账号。
• 理由：无设备限制，支持内部管理，适合企业场景。例如，某零售连锁为门店员工分发POS应用，企业账号是最佳选择。

4. 混合需求

• 需求：既需内部测试，又需App Store上架。
• 推荐：组织账号+企业账号组合。
• 理由：组织账号负责上架，企业账号负责内部分发。例如，某科技公司同时维护客户版应用（上架）和员工版工具（内部），需双账号并用。

选择时的注意事项

1. 成本与收益权衡：

• 个人/组织账号年费低，但设备限制可能影响测试规模。
• 企业账号成本高，需评估内部需求是否匹配。

1. 合规性风险：

• 企业账号若违规使用（如商业分发），可能被封，导致所有应用失效。
• 个人/组织账号需遵守App Store审核规则，避免上架失败。

1. 注册准备：

• 组织和企业账号需D-U-N-S编码，建议提前申请（免费，但耗时1-2周）。
• 确保Apple ID与支付方式有效，避免注册中断。

1. 未来扩展性：

• 若计划从小团队扩展为大企业，可先用组织账号，后续视需申请企业账号。

流程图：开发者账号选择决策过程

以下是一个简化的决策流程图，帮助开发者快速定位适合的账号类型：

开始
  ↓
需上架App Store？ → 是 → 有团队协作需求？
  ↓                  ↓           是         否
否                  组织账号 ←───────→ 个人账号
  ↓
内部大规模分发？ → 是 → 企业账号
  ↓
否 → 免费账号（仅开发）
  ↓
结束

实际案例分析

案例1：独立开发者的选择
某独立开发者开发了一款笔记应用，预算有限且独自完成所有工作。他选择个人账号，以99美元年费完成开发、测试和上架，成功在App Store上线。

案例2：团队协作的优化
某初创公司开发视频编辑工具，团队包括3名开发者和1名设计师。注册组织账号后，团队分工明确，最终以公司名义上架应用，提升了品牌认可度。

案例3：企业内部需求
某物流公司需为2000名司机分发调度应用，选择企业账号通过MDM部署，快速覆盖所有设备，避免了App Store审核的延迟。

实践建议

• 初期测试：若仅需验证概念，可先用免费账号，待项目成熟再升级。
• 团队规划：中小团队优先选择组织账号，预留扩展空间。
• 合规管理：定期检查账户状态，避免因政策变动影响应用分发。
• 多账号策略：大型项目可结合多种账号类型，满足多元化需求。

苹果开发者账号的选择是一个结合技术、成本和战略的决策过程。理解每种账号的核心功能与限制，并根据项目需求灵活匹配，才能在iOS生态中实现高效开发与分发。无论是追求个人创意实现的独立开发者，还是需要内部管理的大型企业，合适的账号类型都是成功的第一步。

苹果公司对于其开发者账号的审核标准严格而细致，旨在确保iOS生态系统的安全性和用户体验的一致性。本文将深入探讨苹果开发者账号的审核标准，帮助开发者更好地理解和遵守这些规定。

开发者账号类型

首先，了解不同类型的开发者账号是理解审核标准的前提。苹果提供以下几种开发者账号：

• 个人开发者账号：适用于独立开发者。
• 公司开发者账号：适用于公司或组织。
• 企业开发者账号：适用于大型企业，用于内部应用分发。

审核标准

1. 身份验证

苹果要求所有开发者账号必须通过身份验证。对于个人账号，需要提供有效的个人身份证明；对于公司或企业账号，则需要提供相关的商业注册文件和授权证明。

2. 应用内容审核

所有通过开发者账号提交的应用都必须遵守苹果的内容指南。这包括但不限于：

• 禁止内容：如暴力、色情、赌博等。
• 知识产权：应用不得侵犯任何版权、商标或其他知识产权。
• 隐私保护：应用必须遵守苹果的隐私政策，明确告知用户数据的收集和使用方式。

3. 技术合规性

应用必须满足苹果的技术要求，包括：

• API使用：正确使用苹果提供的API，不得滥用或违规使用。
• 性能标准：应用应具有良好的性能，不得有过多的崩溃或性能问题。
• 安全性：应用必须安全，不得含有恶意软件或漏洞。

4. 商业行为

苹果对应用内的商业行为也有严格规定：

• 应用内购买：所有数字内容或服务的销售必须通过苹果的应用内购买系统进行。
• 广告：广告的展示必须符合苹果的广告政策，不得干扰用户体验。

审核流程

1. 提交应用：开发者通过开发者账号提交应用到App Store。
2. 初步审核：苹果进行初步的内容和技术审核。
3. 详细审核：通过初步审核后，应用进入详细审核阶段，包括更深入的内容和技术检查。
4. 审核结果：审核完成后，开发者会收到审核结果。如果应用被拒绝，苹果会提供具体的拒绝理由。

案例分析

以某知名社交应用为例，该应用在首次提交时因隐私政策不明确被拒绝。开发者根据苹果的反馈修改了隐私政策，并重新提交后成功通过审核。

结论

了解和遵守苹果开发者账号的审核标准对于成功发布应用至关重要。开发者应仔细阅读并遵循苹果的指南和政策，确保应用在内容、技术和商业行为上都符合要求。通过严格的审核流程，不仅可以提高应用的质量，还能增强用户的信任和满意度。

通过上述详细的审核标准和流程，开发者可以更好地准备和优化自己的应用，以顺利通过苹果的审核，成功进入App Store，触达全球的iOS用户。

在 iOS 应用开发和分发领域，iOS 签名证书是至关重要的一环。它就像是应用的 “身份证”，确保应用来源的合法性和安全性，让用户能够放心地安装和使用应用。然而，一旦 iOS 签名证书丢失，将会引发一系列严重的问题。

iOS 签名证书丢失的影响

应用无法安装和更新

当签名证书丢失后，已签名的应用无法在新设备上安装，对于已安装的应用，也无法进行更新。这意味着用户将无法获得应用的新功能和修复的漏洞，严重影响用户体验。例如，一款热门的社交类应用，若签名证书丢失，新用户无法安装使用，老用户也无法更新到最新版本，可能会导致用户流失。

应用被标记为不可信

系统会将使用丢失签名证书的应用标记为不可信，这会在用户安装时弹出警告，甚至直接阻止安装。这不仅损害了应用的形象，也降低了用户对开发者的信任度。

解决办法

重新申请签名证书

1. 准备工作：

• 确保你拥有有效的 Apple Developer Program 账号，并且账号处于正常状态。
• 准备好用于生成证书签名请求（CSR）的 Mac 电脑，且安装了最新版本的 Keychain Access 工具。

2. 生成证书签名请求（CSR）：

• 打开 Keychain Access，在菜单栏中选择 “钥匙串访问”>“证书助理”>“从证书颁发机构请求证书”。
• 在弹出的窗口中，输入你的电子邮件地址（通常为 Apple Developer Program 账号关联的邮箱），选择 “存储到磁盘”，然后点击 “继续”。
• 保存 CSR 文件到指定位置，记住保存路径。

3. 在 Apple Developer 网站申请证书：

• 登录 Apple Developer 网站，进入 “Certificates, Identifiers & Profiles” 页面。
• 点击 “Certificates”，然后点击 “+” 按钮添加新证书。
• 选择 “iOS Distribution”（用于应用分发）或 “iOS Development”（用于开发测试）证书类型，点击 “继续”。
• 上传之前生成的 CSR 文件，点击 “继续”，然后下载新生成的签名证书。

4. 安装新证书：

• 下载完成后，双击新证书文件，将其安装到 Keychain Access 中。

重新签名应用

1. 获取应用的源代码和资源文件：如果是团队开发，确保从代码仓库中拉取最新的代码。
2. 配置 Xcode 项目：

• 打开 Xcode 项目，在 “General” 设置中，选择新安装的签名证书和对应的 Provisioning Profile。
• 检查项目的 Bundle Identifier 是否正确，这是应用的唯一标识，不能更改。

3. 重新构建和签名应用：

• 在 Xcode 中，选择 “Product”>“Archive”，对应用进行归档。
• 归档完成后，在 “Organizer” 窗口中，选择刚刚创建的归档文件，点击 “Distribute App”。
• 根据需要选择分发方式，如 App Store Connect（用于提交到 App Store）或 Ad Hoc（用于内部测试或特定用户分发），然后按照提示完成签名和分发操作。

预防措施

1. 定期备份签名证书：将签名证书和相关的私钥定期备份到安全的存储介质中，如外部硬盘或云存储。可以建立一个备份计划，例如每周或每月进行一次备份。
2. 使用证书管理工具：一些企业或团队可以使用专门的证书管理工具，这些工具可以集中管理证书，提供证书到期提醒、备份和恢复等功能，提高证书管理的效率和安全性。
3. 建立严格的权限管理：对签名证书的访问和使用设置严格的权限，只有授权的开发人员和相关人员才能访问和使用证书，防止证书被盗用或误删除。例如，使用企业级的身份验证和授权系统，对访问证书的人员进行身份验证和权限控制。