Mon application Android utilise une clé secrète pour générer un jeton à des fins d'authentification. Existe-t-il un moyen plus sûr de stocker cela que de simplement mettre cela dans le magasin de données? Je pense que pour l'iPhone, nous le stockons dans le porte-clés. Je suis conscient de android.accounts.AccountManager, mais cela semble donner aux autres applications potentiellement la capacité d'accéder au mot de passe (si l'utilisateur sélectionne la mauvaise option) et semble donc moins sécurisé.Enregistrement d'une clé secrète sur Android
Répondre
Android (malheureusement) ne fournit pas un moyen de le faire. L'approche que j'ai utilisée auparavant consiste à crypter ce jeton avec une autre clé générée dans l'application.
Votre clé d'application peut être générée par un algorithme. Ceci, cependant, est seulement aussi sûr que votre algorithme. Une fois que cela est connu, cela équivaut à stocker le jeton en texte brut.
Vous pouvez stocker la clé dans les préférences de votre application. Cela protégera la clé d'être lu par d'autres applications en raison des restrictions de système de fichiers sous-jacentes du système Android. Mais cela ne protégera pas la clé de la lecture par l'utilisateur lui-même.
Vrai, MAIS JE PEUX OBTENIR VOTRE CLÉ EN UNE MINUTE SI VOUS FAITES CECI! essayez apktool et vous pouvez obtenir l'ensemble des strings.xml. Juste l'a fait sur une application sociale android célèbre et a obtenu leur clé de consommateur oauth et secret, facebook secret, google analytics id, .... m'a pris 2 minutes. –
si vous pouvez lancer l'outil apk puis son débogage et vous allez rooter l'appareil. Il n'y a plus de protection sur le trousseau dans iOS quand il est jailbreaké
Le est la faute de l'utilisateur que le système n'est pas sécurisé – Casebash
Vous pouvez stocker des données secrètes en les chiffrant avec une clé générée par Android Keystore System et en stockant le résultat si vous le souhaitez.
- 1. Facebook oAuth a besoin d'une clé secrète?
- 2. clé secrète du moteur de l'application pour l'accès à l'iphone
- 3. Générer la signature facebook en utilisant ma clé secrète d'applications?
- 4. Enregistrement vidéo sur écran Android
- 5. Enregistrement sur disque et récupération - Android
- 6. Enregistrement des appels téléphoniques sur Android
- 7. Enregistrement audio Android
- 8. vidéo Android enregistrement
- 9. Enregistrement de variables (Android)
- 10. Enregistrement Android Audio
- 11. android c2dm enregistrement Id échoue
- 12. Android marketplace - clé publique
- 13. Enregistrement vidéo Android et vignette
- 14. Clé Android perdue
- 15. Calcul d'un hachage SHA avec une chaîne + clé secrète en python
- 16. événement clé dans Android
- 17. Android Jain Sip - Enregistrement Sip?
- 18. Clé de produit Enregistrement - Visual Basic
- 19. lastest enregistrement pour chaque clé - SQL
- 20. enregistrement vidéo android avec émulateur
- 21. GnuPG: "Echec du déchiffrement: clé secrète non disponible" erreur de GPG sous Windows
- 22. Vous ne voulez pas stocker la clé secrète API Facebook/Twitter sur les appareils mobiles, les modèles de conception?
- 23. Clé de stockage Android, décompilation de la peur
- 24. Capture de clé dans android
- 25. Android: Enregistrement de la sortie SoundPool
- 26. Clé de puissance de l'émulateur Android longue Appuyez sur événement
- 27. Clé API Google map sur différents appareils Android
- 28. Envoi d'une clé publique de marché Android sur Internet
- 29. Enregistrement Widget Android Simplistic les redémarrages
- 30. Enregistrement de l'état de l'application Android
Je ne pense pas que quiconque trouverait cela trop difficile de trouver la fonction s'ils le voulaient vraiment. Cependant, je suppose que c'est beaucoup plus d'efforts que de simplement lire une clé de texte en clair – Casebash
True. C'est plus de sécurité de l'obscurité qu'autre chose. Une autre approche consiste à stocker le jeton chiffré en utilisant un mot de passe spécifié par l'utilisateur. C'est le plus sûr, mais, l'utilisateur devra s'authentifier avec l'application chaque fois que votre application est lancée. – Prashast
Ce n'est pas sécurisé du tout. C'est l'équivalent de l'obscurcissement. Il vous protégera du navigateur occasionnel et du script kiddie mais pas de Sombody qui veut connaître la réponse. Mais si vous êtes seulement préoccupé par les script kiddies, alors c'est une solution OK. –