Binder總結(jié)

Binder

binder_init

1、為binder設(shè)備分配內(nèi)存空間

2、注冊到binder驅(qū)動

3、返回注冊的binder

binder_open

1、在進程創(chuàng)建的時候,執(zhí)行binder_open,會new一個ProcessState::open_driver -> binder_open() 為binder_proc 分配內(nèi)存空間;

2、將binder信息添加進binder_proc;

3、增加一個filp指針指向binder_proc,方便后面的查找;

4、將binder_proc放入到binder_procs全局列表中去。

binder_mmap

1、通過filp拿到binder_proc去mmap,保證映射的內(nèi)存大小不超過4M;

2、將alloc中的buffer指針指向 這塊虛擬內(nèi)存,為alloc分配一塊物理內(nèi)存,由于這個buffer指針是binder_proc中的成員,所以也其實是物理內(nèi)存的指針;

3、如果是異步的內(nèi)存減半;

4、將用戶空間的vma指針關(guān)聯(lián)到alloc。(binder_alloc_set_vma(alloc,vma))

binder_ioctl

1、通過filp去進行讀寫操作,copy_from_user 將用戶空間數(shù)據(jù) ubuf 拷貝到 bwr

2、寫入數(shù)據(jù)大于0,執(zhí)行寫入方法,讀取數(shù)據(jù)大于0,執(zhí)行讀取方法

ServiceManager

1、ServiceManager是由init進程通過解析init.rc文件而創(chuàng)建的,其所對應(yīng)的可執(zhí)行程序servicemanager,所對應(yīng)的源文件是service_manager.c,進程名為servicemanager。

2、它主要做三件事

  • 打開binder驅(qū)動 ProcessState::initWithDriver
  • 成為上下文的管理者,這樣所有的進程多可以獲取到它 ps->becomeContextManager handle 為0的引用
  • 循環(huán)等待服務(wù)的注冊 BinderCallback::setupTo(looper)

3、客戶端有ServiceManager的binder_ref也就是0號引用handle,客戶端的各種服務(wù)如AMS,可以通過這個引用去內(nèi)核中找對應(yīng)的服務(wù)的binder驅(qū)動,然后通過ServiceManager將服務(wù)返回給客戶端。

Binder通信中各階層的代理對象

  • 應(yīng)用層: ServiceManagerProxy 通過asInterface去拿到的
  • Framework層: BinderProxy
  • native層: BpBinder 通過getStrongProxyForHandle(0)->javaObjectForIBinder,實際就是創(chuàng)建了 BpBinder 和 BinderProxy,并將二者關(guān)聯(lián),然后返回 BinderProxy 對象。
  • 內(nèi)核層代理為:binder_ref 結(jié)構(gòu)體
  • 內(nèi)核層實體為:binder_node 結(jié)構(gòu)體

Binder通信中各階層的binder實體對象

  • 應(yīng)用層:Binder.java
  • native層:BBinder

注冊服務(wù)

我們以AMS注冊為例,在 systemserver 啟動時,就會調(diào)用 AMS 的 setSystemProcess 方法,AMS就是通過該方法向servicemanager注冊的。如果對 systemserver啟動還不了解的同學(xué),可以先去學(xué)習(xí) systemserver 的啟動流程。

// frameworks/base/services/core/java/com/android/server/am/ActivityManagerService.java
public void setSystemProcess() {
    ... ... 
    // 將 AMS 注冊到 servicemanager 中
    ServiceManager.addService(Context.ACTIVITY_SERVICE, this, /* allowIsolated= */ true,
    ... ...
}

// frameworks/base/core/java/android/os/ServiceManager.java
public static void addService(String name, IBinder service, boolean allowIsolated,
            int dumpPriority) {
    getIServiceManager().addService(name, service, allowIsolated, dumpPriority);
    ... ...
}

getIServiceManager 我們前一節(jié)課已經(jīng)分析了,可以理解為執(zhí)行了 new ServiceManagerProxy(參數(shù)為BinderProxy對象);
我們在看 addService 方法前,我們先來看下 ServiceManagerProxy 的構(gòu)造方法做了什么。

// frameworks/base/core/java/android/os/ServiceManagerNative.java
public ServiceManagerProxy(IBinder remote) {
    mRemote = remote;
    mServiceManager = IServiceManager.Stub.asInterface(remote);
}

可以看到這個地方使用了 AIDL,根據(jù)AIDL的理解還是可以知道,實際就是返回了一個Proxy對象,然后 remote = BinderProxy。
接著我們再來看 addService 方法:

// frameworks/base/core/java/android/os/ServiceManagerNative.java
public void addService(String name, IBinder service, boolean allowIsolated, int dumpPriority)
            throws RemoteException {
    mServiceManager.addService(name, service, allowIsolated, dumpPriority);
}

這個方法就會執(zhí)行到 AIDL對應(yīng)的 Proxy.addService 方法,根據(jù)我們前面介紹的AIDL,我們可以知道生成的AIDL代碼,如下:
這個方法里面就會執(zhí)行 mRemote.transact,也就是執(zhí)行 BinderProxy.transact。所以接著我們來分析下 BinderProxy.transact 方法。

public void addService(String name, IBinder service, boolean allowIsolated, int dumpPriority) throws RemoteException {
    Parcel data = Parcel.obtain();
    Parcel reply = Parcel.obtain();
    ... ...
    // 此處 service == AMS
    data.writeStrongBinder(service);
    ... ...
    // 實際就是執(zhí)行 BinderProxy.transact
    mRemote.transact(ADD_SERVICE_TRANSACTION, data, reply, 0);
    ... ...
}

接下來我們分別分析 data.writeStrongBinder(service);mRemote.transact 這兩個方法。

  • 1.data.writeStrongBinder
    這個方法實際就是調(diào)用一個native方法,最終進入jni層,代碼如下:
// frameworks/base/core/jni/android_os_Parcel.cpp
static void android_os_Parcel_writeStrongBinder(JNIEnv* env, jclass clazz, jlong nativePtr, jobject object)
{
    ... ...
    // 創(chuàng)建  JavaBBinder 對象,并保存在本地
    // 下面分別介紹這個方法和參數(shù)
    const status_t err = parcel->writeStrongBinder(ibinderForJavaObject(env, object));
    ... ...
}
  1. 參數(shù):ibinderForJavaObject
    這個方法的作用是創(chuàng)建 JavaBBinder 對象
// frameworks/base/core/jni/android_util_Binder.cpp
sp<IBinder> ibinderForJavaObject(JNIEnv* env, jobject obj)
{
    ... ...
    // 獲取 JavaBBinderHolder 對象
    JavaBBinderHolder* jbh = (JavaBBinderHolder*)
            env->GetLongField(obj, gBinderOffsets.mObject);
    // 獲取 JavaBBinder 對象
    return jbh->get(env, obj);
    ... ...
}

// frameworks/base/core/jni/android_util_Binder.cpp
sp<JavaBBinder> get(JNIEnv* env, jobject obj)
{
    ... ...
    // 創(chuàng)建 JavaBBinder對象
    b = new JavaBBinder(env, obj);
    ... ...
    // 返回 JavaBBinder 對象
    return b;
}
  1. 1-2.方法:parcel->writeStrongBinder
// 參數(shù)為 JavaBBinder
status_t Parcel::writeStrongBinder(const sp<IBinder>& val)
{
    return flattenBinder(val);
}

// 參數(shù)為 JavaBBinder
status_t Parcel::flattenBinder(const sp<IBinder>& binder)
{
    ... ...
    // 通過 JavaBBinder 獲取 BBinder
    BBinder *local = binder->localBinder();
    ... ...
}
  • 2.BinderProxy.transact
public boolean transact(int code, Parcel data, Parcel reply, int flags) throws RemoteException {
    ... ...
    // 這是一個native方法
    return transactNative(code, data, reply, flags);
}

transactNative 是一個 native 方法,會執(zhí)行 android_util_Binder.cpp 中的 android_os_BinderProxy_transact 方法:

// frameworks/base/core/jni/android_util_Binder.cpp
static jboolean android_os_BinderProxy_transact(JNIEnv* env, jobject obj,
        jint code, jobject dataObj, jobject replyObj, jint flags) // throws RemoteException
{
    ... ...
    // 獲取 BpBinder 對象
    IBinder* target = getBPNativeData(env, obj)->mObject.get();
    ... ...
    // 執(zhí)行 BpBinder.transact
    status_t err = target->transact(code, *data, reply, flags);
    ... ...
}

2-1.BpBinder.transact

// frameworks/native/libs/binder/BpBinder.cpp
status_t BpBinder::transact(
    uint32_t code, const Parcel& data, Parcel* reply, uint32_t flags)
{
    status_t status = IPCThreadState::self()->transact(
            mHandle, code, data, reply, flags);
}

// frameworks/native/libs/binder/IPCThreadState.cpp
status_t IPCThreadState::transact(int32_t handle,
                                  uint32_t code, const Parcel& data,
                                  Parcel* reply, uint32_t flags)
{
    // 寫入命令 BC_TRANSACTION
    err = writeTransactionData(BC_TRANSACTION, flags, handle, code, data, nullptr);
    // 類似于網(wǎng)絡(luò)請求中的 request,最終會執(zhí)行 ioctl 方法
    err = waitForResponse(reply);
}

ioctl最終會調(diào)用到兩個方法,一個是 binder_thread_write,一個是 binder_thread_read,如下圖:


ioctl

這兩個方法就是根據(jù)不同的命令,也叫協(xié)議,來進行不同的處理的,一次完整的通信協(xié)議如下圖:
通信協(xié)議

Binder協(xié)議包含在IPC數(shù)據(jù)中,分為兩類:
  1. BINDER_COMMAND_PROTOCOL:binder請求碼,以”BC_“開頭,簡稱BC碼,用于從IPC層傳遞到Binder Driver層;
  2. BINDER_RETURN_PROTOCOL :binder響應(yīng)碼,以”BR_“開頭,簡稱BR碼,用于從Binder Driver層傳遞到IPC層;
    上面我們已經(jīng)寫入了 BC_TRANSACTION 命令,然后通過 binder_thread_write 方法,就會將這個命令發(fā)給 binder驅(qū)動處理,binder驅(qū)動 會先返回一個 BR_TRANSACTION_COMPLETE 命令,讓 AMS客戶端 掛起,然后將客戶端發(fā)過來的數(shù)據(jù)放到內(nèi)核和服務(wù)端的內(nèi)存共享區(qū)域,這樣服務(wù)端就也能獲取到數(shù)據(jù)了,然后通過 binder_thread_read 方法,向 servicemanager服務(wù)端 發(fā)送 BR_TRANSACTION 命令,喚醒 servicemanager服務(wù)端,servicemanager服務(wù)端就會處理該命令,執(zhí)行如下代碼:
// frameworks/native/libs/binder/IPCThreadState.cpp
status_t IPCThreadState::executeCommand(int32_t cmd)
{
    ... ...
    switch ((uint32_t)cmd) {
        ... ...
        case BR_TRANSACTION:
        {
            ... ...
            // the_context_object 就是 ServiceManager
            error = the_context_object->transact(tr.code, buffer, &reply, tr.flags);
            ... ...
        }
        break;
    ... ...
}

ServiceManager.transact 方法最終會調(diào)用到 ServiceManager 的 addService 方法,如下:

frameworks/native/cmds/servicemanager/ServiceManager.cpp
Status ServiceManager::addService(const std::string& name, const sp<IBinder>& binder, bool allowIsolated, int32_t dumpPriority) {
    ... ...
    // 將服務(wù)按名稱 保存在 mNameToService 中
    mNameToService[name] = Service {
        .binder = binder,
        .allowIsolated = allowIsolated,
        .dumpPriority = dumpPriority,
        .debugPid = ctx.debugPid,
    };
    ... ...
}

獲取服務(wù)

獲取服務(wù)的流程與添加服務(wù)的流程類似,這里就不再贅述了,最終會調(diào)用 ServiceManager 的 getService 方法,如下:

// frameworks/native/cmds/servicemanager/ServiceManager.cpp
Status ServiceManager::getService(const std::string& name, sp<IBinder>* outBinder) {
    *outBinder = tryGetService(name, true);
    ... ...
}

sp<IBinder> ServiceManager::tryGetService(const std::string& name, bool startIfNotFound) {
    ... ...
    sp<IBinder> out;
    ... ...
    // 根據(jù)名稱,找到對應(yīng)的服務(wù),然后返回
    if (auto it = mNameToService.find(name); it != mNameToService.end()) {
        service = &(it->second);
        ... ...
        out = service->binder;
    }
    ... ...
    return out;
}

總結(jié)

總結(jié)
  1. servicemanager 啟動時,會將自己設(shè)置為大管家,這樣所有的客戶端都可以通過handle為0,找到servicemanager服務(wù)。
  2. AMS注冊服務(wù),首先AMS會獲取servicemanager的binder代理對象,然后將自己的binder代理傳給servicemanager。
  3. 用戶APP獲取AMS服務(wù),首先會獲取servicemanager的binder代理對象,然后通過servicemanager拿到AMS的binder代理對象。然后用戶APP就可以通過AMS這個代理對象與AMS進行通信了。
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容