在Android10及以上版本中,由于隐私权限收紧,应用无法直接静默读取短信,必须通过用户授权获取READ_SMS权限,并借助ContentResolver查询短信数据库,或使用Android11引入的SMSRetrieverAPI实现自动填充验证码。
随着移动互联网的深度普及,短信验证码已成为账号注册、登录及安全验证的核心环节,对于开发者而言,如何在合规的前提下高效获取短信内容,既是一个技术难题,也是一个隐私合规的必答题,早期的“静默读取”时代早已终结,现在的开发逻辑必须围绕用户授权和系统API展开。
理解权限的变化是解决获取短信问题的前提,不同版本的Android系统对短信权限的管理策略截然不同,直接决定了你的代码实现路径。
在Android9Pie(API28)及更早版本中,短信权限属于“危险权限”,这意味着应用需要在运行时动态申请READ_SMS权限,一旦用户授予,应用即可通过ContentProvider直接读取短信数据库,这种方式的优点是读取速度快,缺点是用户体验较差,且容易因过度索取权限被应用商店拒审或用户卸载。
从Android10开始,Google大幅收紧了短信读取权限,默认情况下,只有被设为主短信应用(DefaultSMSApp)的应用才能读取短信,对于非默认短信应用,READ_SMS权限被标记为“特殊权限”,甚至完全不可用,这一变化旨在防止恶意应用窃取验证码,传统的直接查询数据库方式在大多数主流Android设备上已失效。
如果你的应用被用户设置为默认短信应用,你可以拥有最高级别的短信访问权,但这通常适用于系统级应用或专门的短信客户端,对于普通业务类App,这并非可行方案。
针对非默认短信应用无法读取短信的痛点,Google在Android8.0(API26)中引入了SMSRetrieverAPI,这是目前获取验证码短信最推荐、最合规的方式,它允许应用监听特定的短信,而无需读取整个短信数据库,极大提升了隐私安全性。
SMSRetrieverAPI的核心在于“哈希匹配”,应用会生成一个唯一的哈希值,并将其附加在验证码短信的末尾,当系统收到包含该哈希值的短信时,会自动唤醒应用并推送短信内容,无需用户手动点击或授权读取全部短信。
第一步,在AndroidManifest.xml中注册广播接收器,你需要声明一个用于接收短信哈希匹配的Receiver,并设置相应的IntentFilter。
第二步,在发送验证码的短信模板中,必须包含应用生成的哈希字符串,这个哈希值由应用签名、包名和时间戳计算得出,后端在发送短信时,需将这段哈希值拼接在验证码之后,“【验证码】123456,#AbCdEfGhIj”。
第三步,在应用中监听广播,当收到短信时,解析出验证码部分,完成自动填充。
如果SMSRetrieverAPI无法满足需求,或者你需要处理更复杂的短信场景,可以使用自定义的BroadcastReceiver监听短信到达事件,这种方式需要READ_SMS权限,且在Android10+中受限严重,仅建议在特定场景下使用。
使用此方法前,必须在AndroidManifest.xml中声明READ_SMS权限,在代码中,需通过ActivityCompat.requestPermissions动态向用户申请权限,如果用户拒绝,应用将无法获取短信内容。
注册一个BroadcastReceiver,监听android.provider.Telephony.SMS_RECEIVED动作,当有新短信到达时,onReceive方法会被触发,通过Bundle获取短信内容,并从中提取验证码。
需要注意的是,这种方式在Android11及以上版本中,如果应用不是默认短信应用,可能无法接收到短信广播,它正逐渐被SMSRetrieverAPI取代。
为了帮助开发者做出最佳选择,以下对比三种主流方案的核心差异。
业内专家指出,随着隐私法规的日益严格,SMSRetrieverAPI已成为行业共识的首选方案,它不仅符合GooglePlay的政策要求,也赢得了用户的信任。
许多开发者在实现SMSRetriever时,容易忽略后端的配合,后端必须在发送短信时,正确计算并附加哈希值,如果哈希值错误,应用将无法接收到短信广播,建议在后端代码中集成Google提供的SMSRetriever工具类,以确保哈希生成的准确性。
在Android12中,推荐使用SMSRetrieverAPI,应用无需申请READ_SMS权限,只需在AndroidManifest.xml中注册Receiver,并在后端发送短信时附加正确的哈希值,当短信到达时,系统会自动将短信内容推送给应用,应用解析后即可自动填充验证码,这是目前最稳定且合规的方式。
如果用户拒绝了READ_SMS权限,且应用未使用SMSRetieterAPI,则无法获取短信内容,应引导用户手动输入验证码,或提示用户授予权限,若使用SMSRetrieverAPI,则不存在权限被拒的问题,因为该API不需要任何短信读取权限,建议优先采用SMSRetrieverAPI,以避免权限申请带来的用户流失。
Android13引入了新的通知权限管理,但对短信读取权限的影响有限,主要变化在于通知栏的显示方式,对于短信应用,仍需遵循Android10+的隐私限制,非默认短信应用依然无法直接读取短信数据库,建议继续使用SMSRetrieverAPI,并确保在AndroidManifest.xml中正确配置TargetSDK版本为33或更高,以兼容最新的系统行为。
微信 
电话 
QQ