我目前正在开发一个 Android 应用程序,我没有其他选择来存储一些敏感信息,例如用户名和密码,以便自动验证用户身份。
我知道这是一个非常非常非常糟糕的做法,因为我使用的服务器不管理一些令牌或此类事情,我没有其他选择。
我已经阅读了很多关于该主题的文档和文章,但我无法决定如何存储这些敏感信息。
我有 3 种可能性:
- 使用Android AccountManager系统
- 使用 Android Keystore 系统
- 使用新的 Jetpack 安全组件
AccountManager 系统不是最好的方法,因为正如文档所说:
重要的是要了解 AccountManager 不是加密服务或钥匙串。它以纯文本形式存储帐户凭据,就像您传递它们一样。在大多数设备上,这不是一个特别的问题,因为它将它们存储在一个只能由 root 访问的数据库中。但是在有根设备上,任何对设备具有 adb 访问权限的人都可以读取凭据。
所以我想使用 Keystore System 或新的 jetpack 安全组件来存储这些敏感信息。但老实说,我不是安全专家,我不确定哪种方式更安全。
根据文档,新的 jetpack 安全组件似乎很容易使用。
您是否认为这个新组件不如 Keystore 系统安全?
预先感谢您的帮助 !