一般来说不是因为布线原因都不建议搞旁路由，直接把路由串联进网络省事又高效。

既然作者给你回复了，等于是专门给了一个针对你的 license 。虽然这样的口头授权不太正规也有很多瑕疵，但肯定是有效的。
贴在 repo 里的 license 是针对不特定个体的，因为多数开源项目的作者都懒得逐个跟使用者谈授权。

啥叫禁止网卡随系统启动？
如果希望网卡处于 unmanaged 状态，/etc/network/interfaces 移除所有 auto 及 allow-hotplug 方法

个人感觉这个更新只负责部分 Google 直接发布和部署的组件，例如部分 com.google 开头的系统 APK 和 APEX 模块。
目前感知最明显的除了 GMS 的核心组件之外就是 Android System Webview，主流厂商预装的都是用 Google 签名的包。

感觉你只需要在数据库或者后端服务搞 ACL 访问控制啊。数据库提供两个账户给后端服务用，其中一个可以访问敏感数据。

如果你这里的两个系统都是受信任环境下的（就是外人获取不到程序，运行在自己控制的服务器上），web 应用自己做 ACL 就行。如果不是（也就是需要直接对外暴露 mysql 端口），那你可能得用 mysql 中间件做复杂的 SQL 过滤了。

后端 per-user 加密--前端 per-user 解密 这个流程很多余，前端始终是获得解密的数据的。如果只是想避免连接窃听的话上 TLS/HTTPS 就行了，