21

TwitterやFacebookなどのサービスのアクセストークンを暗号化する必要がありますか?特に、トークンはデバイスのキーチェーンとUserDefaultsに保存する必要がありますか?ユーザーのデバイスが盗まれたり盗まれたりした場合に発生する可能性のあるセキュリティの問題は何ですか?

これは私がこれまでに思いついたものです。

キーホルダーの長所: 暗号化

短所:ユーザーがアプリを削除したときにクリーンアップする方法がありません

UserDefaultsの長所: アプリ内に保持されます。

短所:暗号化なし。

4

1 に答える 1

13

UserDefaultsの「con」を修正する必要があります。デフォルトでは暗号化はありません。CommonCryptoなどを使用してコンテンツを自分で暗号化できますが、プレーンテキストの保存に追加の作業が必要です。

OAuthトークンのポイントは、そのトークンを所有している人が、資格情報を提示しなくても関連するサービスを使用できることです。したがって、パスワードを保存する必要がある場合は、同じ値であるため、パスワードを保護するのと同じように保護する必要があります。

ユーザーのデバイスが盗まれた場合、ユーザーがデバイスをパスコードでロックしていない限り、泥棒はあなたが説明したいずれかの状況でユーザーとしてアプリを使用することができます。アクセストークンを暗号化しない場合は、さらに、アクセストークンを抽出して、制御下のコードから再生する機能があります。

于 2011-04-26T16:13:07.920 に答える