Android活动意图过滤器设计

功能描述：

• Receives system/third‑party shares and opens the publishing editor.
• Supports:
  • Single image or multiple images (primary content).
  • Plain text only.
  • Mixed content (image + text): images are primary, text prefilled into editor.
• Reads Intent.EXTRA_TEXT, Intent.EXTRA_STREAM, Intent.EXTRA_SUBJECT.
• Image sources can be from FileProvider or MediaStore. Read permissions are granted via FLAG_GRANT_READ_URI_PERMISSION by the sender; your app should use the granted permissions and propagate them if forwarding.

元素解析：

• action:
  • android.intent.action.SEND: for a single shared item (text or one image).
  • android.intent.action.SEND_MULTIPLE: for multiple images.
• category:
  • android.intent.category.DEFAULT: required for implicit intent resolution from other apps and the system share sheet.
• data (MIME types):
  • text/plain: enables pure text shares (EXTRA_TEXT, EXTRA_SUBJECT).
  • image/*: enables image shares (EXTRA_STREAM), both for single and multiple images.
  • No scheme/host/path restrictions are set to remain compatible with common content:// URIs from FileProvider and MediaStore.

使用方式：

• Place the intent filters inside your Activity definition that implements the editor UI. Example steps:
  1. In AndroidManifest.xml, add the above intent-filters inside the target .
  2. On Android 12+ (API 31+), set android:exported="true" on that activity because it has intent filters.
  3. At runtime:
     • For single share:
       • Check intent.getAction() == Intent.ACTION_SEND.
       • Read intent.getType() to branch (text/plain vs image/*).
       • For text: getStringExtra(Intent.EXTRA_TEXT) and getStringExtra(Intent.EXTRA_SUBJECT).
       • For image: getParcelableExtra(Intent.EXTRA_STREAM, Uri.class) or read from intent.getClipData().
     • For multiple images:
       • Check intent.getAction() == Intent.ACTION_SEND_MULTIPLE and type image/*.
       • Read getParcelableArrayListExtra(Intent.EXTRA_STREAM) or ClipData URIs.
     • Use ContentResolver.openInputStream(uri) to read images. No additional storage permissions are required when a read grant is present.
  4. If you forward the received URIs to another component or share them out, add FLAG_GRANT_READ_URI_PERMISSION on the outgoing intent and set ClipData to propagate read access.

注意事项：

• Do not add android.intent.category.BROWSABLE or overly broad MIME types like "/"; they would overexpose the activity and cause unintended matches.
• Some senders attach URIs via ClipData (especially multiple items). Always check both EXTRA_STREAM and getClipData().
• If both text and images are present, prioritize images and prefill the text; if no data is present, prompt the user to pick images (app logic).
• Old apps using file:// URIs are not supported since Android 7.0 for cross-app sharing; most modern shares use content:// via FileProvider/MediaStore.
• Avoid setting a high intent-filter priority; let the system share sheet rank targets.

匹配优先级说明：

• Two filters are provided: one for ACTION_SEND (text/plain + image/) and one for ACTION_SEND_MULTIPLE (image/).
• Default priority (no android:priority) is used to avoid conflicts and keep fair ranking in the system chooser.
• Resolution requires both action and MIME type to match; category DEFAULT is mandatory for implicit resolution.

系统版本兼容性：

• Android 12+ (API 31+): you must set android:exported="true" on the activity with intent-filters.
• Android 10+ often uses ClipData for multiple items; handle ClipData in addition to EXTRA_STREAM.
• Storage/runtime permissions are not required to read content URIs if the sender granted FLAG_GRANT_READ_URI_PERMISSION (standard for shares).

安全配置建议：

• Keep MIME types restricted to text/plain and image/* as required; do not include "/".
• Validate incoming URIs (scheme should typically be content://). Handle errors gracefully when streams cannot be opened.
• Never trust incoming text; sanitize before rendering in the editor to avoid injection into HTML or logs.
• When re-sharing or passing URIs outside your app, explicitly add FLAG_GRANT_READ_URI_PERMISSION and only include the minimum necessary URIs.

기능 설명:

• 브라우저 또는 결제 SDK가 paydemo://pay/result 형태의 커스텀 스킴 딥링크로 앱을 호출하여 결제 결과 화면을 표시합니다.
• 쿼리 파라미터: status ∈ {success, fail, cancel}, orderId, sign.
• 액티비티 진입 후 서명 검증과 호출 출처 검증을 수행하고, 검증 성공 시 주문 상세로 라우팅 및 결과 리포팅, 파라미터 누락/검증 실패 시 홈으로 안전하게 복귀합니다.

요소 해설:

• action=android.intent.action.VIEW
  • URI 기반의 딥링크를 처리하기 위한 표준 액션입니다.
• category=android.intent.category.BROWSABLE
  • 브라우저와 같은 외부 앱에서 안전하게 열릴 수 있도록 허용합니다. 브라우저/결제 SDK 호출 시 필수입니다.
• category=android.intent.category.DEFAULT
  • startActivity(implicit)로 호출되는 일반적인 경우를 지원합니다. 일부 SDK는 DEFAULT를 요구합니다.
• data 요소
  • android:scheme="paydemo": 커스텀 스킴을 paydemo로 한정합니다.
  • android:host="pay": 호스트를 pay로 고정하여 의도치 않은 URI 매칭을 차단합니다.
  • android:path="/result": 정확히 /result 경로만 매칭합니다. pathPrefix/Pattern을 사용하지 않아 범위를 불필요하게 넓히지 않습니다.
  • 참고: 쿼리 파라미터(status, orderId, sign)는 인텐트 필터에서 매칭되지 않으며, 런타임에서 Uri.getQueryParameter(...)로 검증해야 합니다.

사용 방식:

• AndroidManifest.xml 내 대상 Activity 선언에 위의 를 포함시키십시오.
• Android 12(API 31)+를 타깃팅하는 경우 exported 속성을 명시해야 합니다.
• 예시:

  <activity
      android:name=".ui.payment.PayResultActivity"
      android:exported="true"
      android:launchMode="singleTop">
      <!-- 결제 결과 콜백 딥링크 -->
      <intent-filter>
          <action android:name="android.intent.action.VIEW" />
          <category android:name="android.intent.category.BROWSABLE" />
          <category android:name="android.intent.category.DEFAULT" />
          <data
              android:scheme="paydemo"
              android:host="pay"
              android:path="/result" />
      </intent-filter>
  </activity>
  

• 호출 예(브라우저/SDK):
  • paydemo://pay/result?status=success&orderId=123456&sign=...[서명값]
• 런타임 처리 권장 흐름:
  1. Uri 파싱 후 status, orderId, sign 존재 여부 확인
  2. status 값이 {success, fail, cancel} 집합 내에 있는지 검사
  3. 서버 또는 사전 교환한 키로 sign 검증(HMAC/RS256 등)
  4. 출처 검증(가능 시 referrer 확인, SDK의 패키지 화이트리스트/토큰 등 추가 검증)
  5. 성공 시 주문 상세로 라우팅 및 결과 리포팅, 실패/누락 시 홈으로 안전 복귀

주의 사항:

• 보안:
  • 쿼리 파라미터는 신뢰하지 말고 반드시 검증하십시오. sign은 재사용 방지(타임스탬프/논스)와 유효기간 검증을 권장합니다.
  • 호출 출처는 완전히 신뢰할 수 없으므로, sign 검증을 통과한 경우에만 민감 동작(주문 확정/리포팅 등)을 수행하십시오.
• 충돌 방지:
  • http/https와 같은 범용 스킴을 필터에 추가하지 마십시오. 브라우저/다른 앱과 충돌합니다.
  • 동일 스킴을 사용하는 다른 Activity가 있다면 host/path로 명확히 분리해 충돌을 피하십시오.
• 동작:
  • 브라우저에서 열릴 때는 새 태스크에서 실행될 가능성이 있습니다. 딥링크 진입 경로에서 적절한 초기화/복귀 처리를 고려하십시오.

• priority 속성을 지정하지 않았습니다(권장). 시스템은 명시도(scheme+host+path)의 정확도에 따라 우선순위를 판단합니다.
• 본 필터는 scheme/host/path를 모두 고정하므로, 같은 스킴 내에서도 의도치 않은 액티비티로 라우팅될 가능성을 낮춥니다.

• Android 12(API 31)+: Activity에 android:exported 속성 필수. 본 예시는 exported="true"로 외부 호출을 허용합니다.
• 커스텀 스킴(paydemo)은 App Links(autoVerify) 대상이 아니므로 autoVerify 설정은 불필요합니다.
• 쿼리 파라미터 매칭은 매니페스트 차원에서 지원되지 않으므로, 모든 API 레벨에서 런타임 검증이 필요합니다.

• 매니페스트에서는 매칭 범위를 최소화(scheme/host/path 정확 매칭)하고, 런타임에서는 다음을 수행:
  • 필수 파라미터 존재/형식 검증, status 화이트리스트 검증
  • sign 검증(HMAC-SHA256/RS256 등) + 타임스탬프/논스 재생 공격 방지
  • 가능 시 referrer(브라우저/SDK 제공) 검사 및 내부 화이트리스트와 대조
• 실패 시 항상 안전한 기본 경로(홈)로 폴백하고, 오류 사유를 로깅하되 민감 정보는 남기지 마십시오.