Android 多用户环境下实现应用级全局变量持久化

在 android 多用户场景中，需让计数器等关键变量跨所有用户配置文件（user profiles）共享且仅本应用可读写，推荐使用应用私有内部存储（internal storage），它天然隔离、无需权限、卸载即清，安全可靠。

在 Android 系统中，当设备启用多用户功能（如工作资料、访客模式或企业多用户环境）时，每个用户拥有独立的运行上下文：SharedPreferences、SQLite 数据库、SqlDelight 生成的数据库 等默认均以用户为作用域隔离——即数据物理存储路径包含 user_id（如 /data/user/0/com.example.app/ 和 /data/user/10/com.example.app/），因此无法跨用户共享。Settings.Global 虽全局可见，但属系统级共享空间，任何具有 WRITE_SETTINGS 权限的应用均可读写，违背最小权限原则；而外部存储（如 SD 卡）或自建文件若未严格管控，亦存在被同设备其他应用（尤其具备 root 或源码访问权限的协作团队）篡改的风险。

✅ 正确解法：应用私有内部存储（App-Specific Internal Storage）
该路径（Context.getFilesDir() 或 Context.openFileOutput()）位于 /data/data//files/，由 Android 系统强制实施 Unix 文件权限控制（rw-r--r-- 且属主为应用 UID）。关键特性如下：

• ✅ 跨用户一致访问：无论当前激活哪个用户，只要调用同一应用的 getFilesDir()，返回的路径始终指向该应用在当前用户空间下的私有目录；但注意——不同用户的数据物理隔离（即 User 0 的 /data/user/0/... 与 User 10 的 /data/user/10/... 是两个独立目录）。
  ⚠️ 重要澄清：严格来说，Android 原生不提供“单份数据被所有用户同时读写”的机制。所谓“跨用户共享”，实际需通过应用在每个用户空间下维护一份逻辑一致的副本，并借助 DevicePolicyManager 或 WorkManager + BroadcastReceiver（监听 android.intent.action.USER_SWITCHED）等方案同步状态。但若目标仅为“各用户独立使用同一套业务逻辑且变量值需保持一致”（例如：一个设备上所有用户共用同一个累计计数器），则必须由应用层主动同步——而内部存储是承载该同步后数据的最安全载体。

以下为推荐实践示例（Kotlin）：

class GlobalCounterManager(private val context: Context) {

    private companion object {
        const val COUNTER_FILE_NAME = "global_counter.json"
    }

    // 安全读取：自动处理文件不存在/解析失败
    fun getCounter(): Long {
        return try {
            val file = File(context.filesDir, COUNTER_FILE_NAME)
            if (file.exists()) {
                val json = file.readText(Charsets.UTF_8)
                Json.decodeFromString(json).value
            } else 0L
        } catch (e: Exception) {
            Log.w("Counter", "Failed to read counter", e)
            0L
        }
    }

    // 安全写入：原子性更新（先写临时文件，再重命名）
    fun updateCounter(newValue: Long): Boolean {
        return try {
            val tempFile = File(context.filesDir, "${COUNTER_FILE_NAME}.tmp")
            val targetFile = File(context.filesDir, COUNTER_FILE_NAME)

            val data = CounterData(newValue)
            val json = Json.encodeToString(data)
            tempFile.writeText(json, Charsets.UTF_8)

            // 原子性替换（保障并发/崩溃安全性）
            if (tempFile.renameTo(targetFile)) {
                true
            } else {
                throw IOException("Failed to rename temp file")
            }
        } catch (e: Exception) {
            Log.e("Counter", "Failed to write counter", e)
            false
        }
    }

    @Serializable
    data class CounterData(val value: Long)
}

? 关键注意事项：

SolidPoint

Youtube视频总结器，快速将Youtube长视频压缩成文字摘要

下载

• ? 权限零依赖：内部存储无需声明任何 ，系统级隔离已确保排他访问；
• ? 与 SqlDelight 兼容性：SqlDelight 默认使用 Room 或原生 SQLiteDatabase，其数据库文件同样存于 context.getDatabasePath()（即 /data/data//databases/），属于内部存储范畴——因此它本身也是用户隔离的，不可直接跨用户共享；若需多用户数据库一致性，应将数据库文件也视为“需同步的状态”，而非依赖其自动共享；
• ? 同步策略建议：对于真正需要多用户值一致的场景（如设备级激活次数），推荐结合 JobIntentService 或 WorkManager 在用户切换时触发轻量同步任务，并通过 ContentProvider（设置 android:exported="false"）或 AIDL 提供受控的跨用户通信接口（需设备具备相应管理权限）；
• ?️ 生命周期对齐：内部存储数据随应用卸载自动清除，符合预期；若需保留（如用户迁移），应额外设计备份至加密云存储或设备管理服务。

综上，Context.getFilesDir() 是满足“应用私有、多用户可部署、高安全性”需求的基石方案。它不解决跨用户自动同步问题，但为上层同步逻辑提供了最可靠的本地数据落盘能力——这是构建健壮多用户 Android 应用不可或缺的一环。