如您所知,许多应用程序使用钥匙串来保存用户登录名和密码,但它真的安全吗?特别是在设备越狱模式。所以另一种解决方案是使用Outh2协议在服务器端保存那些机密信息,这需要在客户端和服务器端(对于我的应用程序)进行许多更改。
你们如何处理这个棘手的问题?知道的任何人请提前分享和感谢。
答案 0 :(得分:1)
它有两个级别的加密选项
锁定屏幕密码作为加密密钥
生成并存储在设备上的密钥)
但是当设备被越狱时它也不安全。
尽管您在服务器中存储凭据,但您必须在客户端保存OAuth TOKEN ,没有比将钥匙链存储在客户端更好的地方。所以现在可以提取越狱装置上的TOKEN。
据我所知,在大多数应用中,他们使用其中一种方法。
如果您需要这些数据非常安全。
将OAuth令牌存储在不在客户端
将加密凭证存储在钥匙串中并将加密密钥存储在服务器中。这种方法对您来说很容易,因为您说使用OAuth对您来说很难。
有一些开源库可以检测您运行的设备或应用程序是否被破解,如果这样,您可以采取行动,如停用TOKEN,删除关键资源,锁定应用程序等。