在 Cordova 中安全地存储访问令牌

Question

编辑： 请参阅我的answer 以获得解决方案

目前正在使用Ionic 开发一个混合应用程序，其中需要存储身份验证令牌以保持用户登录，并保证无法在应用程序上下文之外访问此数据。

当然，这项任务有很多解决方案，每个解决方案都有不同的优缺点，因此（对我而言）很难找到适合的技术。

我一直在关注angular-localForage 和其他候选人：

---

本地存储

• 小数据的明显选择。
• 当系统内存不足时，iOS 中的数据会被擦除。

索引数据库

• iOS (IndexedDB support) 中的错误支持

WebSQL (SQLite)

• 对于小数据和体面的支持 (WebSQL suppport) 显然是一个不错的选择，但它已被弃用。

SQLite

• Cordova 在iOS 中存在相关问题。

LokiJS

• 在这种情况下看起来有点矫枉过正，但绝对是一个强有力的候选者。是否有任何我应该注意的安全问题（当我在本地读取它时将数据持久化到 JSON 文件中）？

PouchDB + SQLite

• 嗯，它是一个与 CouchDB 或 Couchbase 数据库一起使用的 JS 客户端，它也可以与 SQLite 一起使用，但我只需要存储一个 Token..

---

显然，具有讽刺意味的是，Android/iOS 交叉兼容性的最佳选择应该是 WebSQL，但它已不再开发，我必须保证长期支持。

所以我的问题是：我还缺少其他安全存储访问令牌的选项吗？如果没有，以上哪一个应该是这项任务的最佳选择？

Answer 1

SQLite 是最好的选择，因为 DB 的内容将被加密和保存。原生应用程序也依赖 SQLite 来保存数据。 为了使用 SQLite 使 CRUD 更容易，我创建了一个包装库。请查收here

Answer 2

去LocalStorage，这是最好的存储方式

Answer 3

在做一些研究后，我将分享我的结论。

有趣的是，以上候选者都不适合安全地存储访问令牌。该方法应该为 Android (Shared Preferences) 和 iOS (Keychain) 使用原生解决方案。

在 Ionic 的特殊情况下，Cordova 的 broadcaster plugin 可用于将 JS 与 Native 通信，以便您可以访问存储的数据。

Answer 4

唯一安全的方法是使用“httponly cookie”。但是，自 2020 年 4 月起，Apple 使用的 wkwebview 存在 cookie 问题。