| RFC-0092:会话 | |
|---|---|
| 状态 | 已接受 |
| 区域 |
|
| 说明 | 定义会话组件的角色。 |
| Gerrit 更改 | |
| 作者 | |
| 审核人 | |
| 提交日期(年-月-日) | 2021-04-08 |
| 审核日期(年-月-日) | 2021-05-05 |
摘要
本文档介绍了 Fuchsia 会话的角色和职责。
会话是一个组件。每个 Fuchsia 产品都在会话中构建其用户体验。例如,工作站会话会实例化组件来处理输入、设置 Scenic 场景图并渲染其界面。
会话组件提供创建产品用户体验所需的所有功能,因此通常是产品中权限最高的非平台组件。因此,会话组件充当 Fuchsia 平台与使用 Fuchsia 构建的产品之间的边界。session_manager 是会话的父组件,可公开开发者可用于控制会话的调试协议。商品款式/规格
(例如,product_eng、product_userdebug)可能会导致同一会话出现不同的风格。
本文档旨在批准自 Modular Framework 被弃用以来做出的设计决策。
设计初衷
Fuchsia 平台旨在支持多种产品。这些产品由特定于产品的组件和平台组件组成。特定于产品的组件必须位于组件实例树中的某个位置。会话是驱动用户体验的产品专用组件实例树的根。
会话充当 Fuchsia 平台与产品之间的边界。因此,该会话可用于改进产品开发周期。例如,可以销毁并重新创建会话,以“重启”产品的用户体验。
设计
本部分概述了 Fuchsia 会话的当前设计,并重点介绍了当前设计并非预期长期设计的地方。“替代方案”部分从宏观层面介绍了一些潜在的长期方法。
启动
core 是一个不可执行的组件,用于提供在产品之间保持一致的功能。core 是 session_manager 的父级。
session_manager 是在 startup 连接到 session_manager 公开的 fuchsia.sessionmanager/Startup 协议时实例化的。
session_manager 从其 /config/data 中的配置文件读取初始启动会话。然后,它会在动态 collection 中将该会话实例化为子级。虽然会话存在于集合中,但此集合中最多只能有一个会话组件。这意味着所有会话都将获得相同的功能集,因为所提供的功能集不会因产品而异。如需进一步讨论,请参阅会话管理器配置。
然后,会话会实例化其自己的特定于产品的组件层次结构。即使对于简单的产品,会话最终也会承担很多责任。例如,它会配置场景图、连接输入、集成无障碍功能等。
功能和组件
会话使用其提供的功能来实例化所需产品体验所需的组件树。会话必须提供会话组件层次结构中使用的所有平台功能。
即使功能仅适用于一类产品,Fuchsia 平台也必须仔细考虑提供给会话的功能。我们的目标是为产品提供所需的控制和灵活性,同时保持值得信赖的平台,确保产品之间的一致性。
例如,考虑带显示屏的产品。Fuchsia 平台可能会决定向会话提供与显示屏互动的能力,然后让会话负责实例化图形子系统(例如,风景)。 这为会话提供了很大的灵活性和控制权,但也使得 Fuchsia 平台更难发展:如果 Fuchsia 平台为会话提供了实例化 Scenic 所需的功能,那么它也赋予了会话创建自己的 Scenic 替代方案的能力。如果足够多的产品定义了自己的图形协议,“图形组件”将仅在具有匹配图形协议的系统上运行。此外,由于任何产品都有能力规避场景图,因此平台无法再提供有关场景图的保证。
Scenic 目前在 appmgr 下实例化为“v1”组件。当 Scenic 迁移到“v2” (component_manager) 组件层次结构时,需要决定在组件层次结构中的哪个位置实例化它。
如需确定是否应在会话中实例化组件,请考虑以下问题:“此功能在不同产品中的互动是否应保持一致?”例如,产品应该能够选择是否需要图形,但如果需要图形,则应该使用 Scenic。 同样,产品应能够决定其支持的输入设备类型,但应使用输入流水线来接收来自这些设备的事件。这意味着 Scenic 和输入流水线都应可由产品配置,但应在会话外部实例化,因为这些组件所需的功能是特权功能。
在当前架构中,出于实际原因(例如生命周期管理、缺乏 .cml 可配置性等),计划将其中一些组件置于会话中。Fuchsia 正在进行多项工作,以引入其他平台可配置性机制,从而允许在会话之外再次实例化许多平台组件:
- 驱动程序已在会话之外实例化,但并非在所有 Fuchsia 产品中都是静态的。
- 核心 realm 中定义的功能需要根据安全上下文进行切换,例如在用户 build 上启用存储组件实例 ID 强制执行。
- 温度记录器组件目前存在于核心 realm 中,但仅通过 RFC-0089 中定义的机制包含在某些主板上。
以下是一些应在会话中明确实例化的组件示例:
- 图形呈现(“外壳”)组件。
- 直接影响用户体验的组件(例如视频播放器、终端等)。
实现
session_manager 组件已实现,可在 session_manager 目录中找到。
您可以在示例中找到一些简单的会话示例。
参考 Fuchsia 产品使用的会话可在 tiles-session 中找到。
性能
会话是第一个被实例化的产品自有组件,但在会话组件之前,许多平台组件已被实例化。
安全注意事项
session_manager 为会话提供实例化产品用户体验所需的所有功能。所有会话都从 session_manager 接收相同的能力集。此套装包含多种功能。不过,与未迁移为使用会话的产品配置(即使用 Modular Framework 的产品)上运行的组件所获得的权限相比,会话可获得的权限集更小,也更易于审核。
提供给会话的功能必须通过安全审核。Fuchsia 团队不太可能在未来对所有会话执行全面的安全审核。因此,从平台的角度来看,会话的安全性在很大程度上取决于为会话提供的一组功能。
隐私注意事项
session_manager仅存储当前会话的网址,该网址可能会被记录。这比管理用户启动的组件的模块化框架有所改进。
每次会话都需要进行全面的隐私权审核。
测试
产品所有者需要工具来测试和调试会话。
我们将创建一个专注于会话开发者需求的测试框架。借助此框架,开发者可以测试会话的组件层次结构的设置,并验证会话中组件之间的互动。
开发者将能够通过 ffx 命令与正在运行的会话进行互动。例如,ffx session restart 指示 session_manager 销毁并重新创建会话。
文档
根据 RFC-194,已移除概念文档。
//src/session 中的每个单独的二进制文件和库还包含一个说明其用途的 README。
缺点、替代方案和未知因素
作为会话子级的平台
会话与 core 之间的关系可以反转,使 core 成为会话的子级。这样一来,产品就可以完全控制系统的配置方式,但代价是牺牲稳定的平台基础。
会话管理器配置
session_manager 配置目前仅用于切换在启动期间要实例化的会话组件。session_manager.cml 中没有方差,因此每个会话提供的功能集都相同。理想情况下,会话管理器配置应尽可能减少提供的协议数量。