如您所知,许多应用程序使用钥匙串来保存用户登录名和密码,但它真的安全吗?特别是在设备越狱模式下。所以另一种解决方案是使用 Outh2 协议将那些机密信息保存在服务器端,这需要在客户端和服务器端(对于我的应用程序)进行许多更改。
你们是如何处理这个棘手的问题的?有知道的朋友请先分享一下,谢谢。
问问题
197 次
1 回答
1
钥匙链:
它有两级加密选项
锁屏密码作为加密密钥
由设备生成并存储在设备上的密钥)
但是当设备越狱时,它也不安全。
o认证:
即使您将凭据存储在服务器中,您也必须将 OAuth TOKEN保存在客户端,没有比钥匙串更好的地方可以将其存储在客户端。所以现在有可能在越狱设备上提取 TOKEN。
据我所知,在大多数应用程序中,他们使用其中一种方法。
如果您需要这些数据非常安全。
建议:
将 OAuth 令牌存储在服务器中而不是客户端中
将加密凭证存储在钥匙串中,并将加密密钥存储在服务器中。这种方法对您来说很容易,因为您说采用 OAuth 对您来说很难。
笔记:
有一些可用的开源库可以检测您运行的设备或应用程序是否被破解,如果您可以采取措施,例如停用 TOKEN、删除关键资源、锁定应用程序等。
于 2014-03-17T07:13:18.453 回答