背景说明 #

我们计划将经JSONEncoder编码的FamilyActivitySelection令牌存储至后端长期使用，依赖DeviceActivityMonitorExtension在计划触发时恢复并应用屏蔽规则。

此前在技术社区及Apple开发者论坛中看到相关报告：FamilyControls框架颁发的ApplicationToken与ActivityCategoryToken无法保证稳定性——iOS可能在系统或应用更新后，静默为同一应用重新颁发新令牌，导致此前存储的令牌失效。

相关问题描述（来自技术社区）：

令牌突变问题：这是实际生产应用中较为棘手的bug之一——应用令牌无法保证永久稳定。iOS会静默为同一应用颁发全新的不同令牌。若存储的是旧令牌，而Shield代理收到新令牌，代理将无法匹配二者，既无法知晓哪个存储对应该屏蔽规则，也无法确定由哪个拦截“配置文件”触发。已有多位屏幕时间应用开发者报告该问题，且在多个Apple开发者论坛帖子中得到证实。目前尚无官方修复方案，应对方案为防御性处理：当ShieldConfigurationDataSource或ShieldActionDelegate收到未知令牌时，应回退至通用屏蔽UI，而非崩溃或返回空数据；绝不能将令牌标识作为持久层的长期稳定键，用户重新激活配置文件时需始终从全新的FamilyActivityPicker选择中重新派生令牌。

咨询问题与解答 #

1. 令牌不稳定问题在iOS 16/17/18/26中是否仍存在？ #

截至2024年，iOS 16、17、18版本中仍有大量开发者反馈该令牌突变问题存在，Apple官方尚未发布针对此问题的修复公告。iOS 26属于未公开的测试/预研版本，暂无大规模公开反馈，但基于现有框架迭代逻辑，暂不排除该问题仍会存在的可能。

2. 令牌失效时的解码与系统行为？ #

• JSONDecoder不会抛出DecodingError：失效令牌只是系统不再认可其对应关系，但其本身的结构化编码并未损坏，因此JSONDecoder仍能正常解码出ApplicationToken/ActivityCategoryToken实例。
• ManagedSettingsStore会静默忽略：将失效令牌传入ManagedSettingsStore应用屏蔽规则时，系统不会触发任何错误提示或回调，只会直接忽略该令牌对应的屏蔽规则，导致预期的屏蔽效果无法生效。

内容的提问来源于stack exchange，提问作者Safwan Mamji