Маркеры доступа к хранилищу ключей Android

В моем приложении после успешной аутентификации пользователя с использованием OAuth мне нужно сохранить токен доступа, возвращенный REST API. Я думал об использовании хранилища ключей для хранения этого токена для дальнейшего использования в приложении. Но до сих пор я не видел реализации, в которой хранятся уже сгенерированные ключи с использованием API хранилища ключей Android. Есть ли пример или фрагмент кода, в котором хранятся уже сгенерированные токены.

Кроме того, если я использую хранилище ключей для хранения токенов доступа, могут ли пользователи телефона с root-доступом получить доступ к этим токенам?

Спасибо.


android access-token android-keystore
person user2622786    schedule 28.12.2015    source источник

Ответы (1)


arrow_upward
3
arrow_downward

В следующем сообщении в блоге дается очень хорошее объяснение того, как это сделать.

http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html

Также не имеет значения, может ли рутированный пользователь телефона получить доступ к этим токенам, если они зашифрованы. К счастью, демон системного хранилища ключей Android шифрует ключи с помощью AES.

person RamV13    schedule 28.12.2015
comment
Не уверен, что это должен быть принятый ответ, учитывая следующий отказ от ответственности по приведенной выше ссылке: он представит частные API, недоступные через Android SDK, и детали реализации некоторых служб ОС. Они могут измениться в любое время и не гарантируют работу. Хотя описанные методы были протестированы на нескольких различных устройствах и версиях ОС (от 2.1 до 4.0), никаких гарантий нет. Будьте осторожны, если решите реализовать их в рабочем приложении. - person bartonstanley; 18.06.2018