Android的安全存储密钥
问题描述:
我在哪里需要存储将与每个请求在Anderoid申请时应提交身份验证令牌?我问了一个安全的存储位置,例如iPhone已经钥匙扣,有没有Anderoid同等的服务?存储在共享首选项中是否安全?Android的安全存储密钥
答
在安卓4.3+有个东西叫AndoridKeystore这大致相当于iOS的钥匙链。 Here的它的一个好的博客写了和官方API sample project。
一般来说,如果你创建你的共享与Context.MODE_PRIVATE的偏好,他们只能通过你的应用程序(或您的密钥签名的其他应用程序)进行访问。但是,如果设备已根植,则用户和任何应用都可能会读取您的应用的私有共享首选项。
我帮助创建并维护了一个名为secure-preferences的图书馆,以混淆存储在共享偏好中的密钥和值,以便让攻击者更难,然后需要对应用程序进行逆向工程(尽管这不是火箭科学)。一个很好的选择,以确保-喜好为CWAC-prefs通过由SQLcipher支持马克·墨菲。