Android アプリケーションの各リクエストで送信される認証トークンはどこに保存する必要がありますか? 安全な保管場所を求めています。たとえば、iPhone にはキーチェーンがあります。Android に同等のサービスはありますか? 共有設定への保存は安全ですか?
質問する
449 次
1 に答える
0
Android 4.3+ には、iOS キー チェーンとほぼ同等の AndoridKeystore と呼ばれるものがあります。これについての良いブログ記事と、公式のAPI サンプル プロジェクトを次に示します。
一般に、共有設定を作成するとContext.MODE_PRIVATE、アプリケーション (またはキーで署名された他のアプリ) のみがアクセスできます。ただし、デバイスがルート化されている場合、ユーザーとアプリは、アプリの非公開の共有設定を読み取る可能性があります。
私はsecure-preferencesと呼ばれるライブラリの作成と維持を支援し、共有設定に保存されているキーと値を難読化して、攻撃者が攻撃しにくくし、アプリのリバース エンジニアリングを要求するようにしました (ただし、これはロケット サイエンスではありません)。secure-preferences に代わる良い方法は、Mark Murphy によるCWAC-prefsです。これは SQLcipher に支えられています。
于 2013-11-06T10:46:06.360 に答える