我应该将令牌安全地保存在内存还是 sqlite 中？或请建议

Question

几天前我开始学习 Android，到目前为止，我已经完成了 Login Activity、Main Activity 的实现，它扩展了抽象的 Base Activity。

点击导航栏项目时，会从 Fragments 中打开 xml。

我对成功登录后收到的令牌有疑问。此令牌与每个请求一起使用，以在成功登录后获取数据。我应该将令牌安全地保存在 sqlite 数据库中，还是应该在 Main Activity 中创建一个公共属性？ Main Activity 将始终保留在内存中，因为这会打开片段。

Answer 1

我可以建议 3 个选项： 1）您可以将令牌保存到文件中，如下所示：

public static void saveToken(Context ctx, String fileName, Object token) {
        if (token == null) {
            ctx.deleteFile(fileName);
        } else {
            ObjectOutputStream out = null;
            try {
                FileOutputStream fout = ctx.openFileOutput(fileName, 0);
                out = new ObjectOutputStream(fout);
                out.writeObject(token);
                fout.getFD().sync();
            } catch (Exception e) {
                e.printStackTrace();
            } finally {
                try {
                    if (out != null)
                        out.close();
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        }
    }

确保对象 token 实现 java.io.Serializable interface。

API 级别 24 之前的用法：

saveToken(appContext, someFileName, someTokenObject);

使用 API 级别 24 及更高级别：

saveToken(appContext.createDeviceProtectedStorageContext(), someFileName, someTokenObject);

2) 使用 SQLCipher 库加密数据库。

3) 您可以使用密钥库系统https://developer.android.com/training/articles/keystore.html 加密您的令牌

Answer 2

使用SharedPreferences 并确保您使用的是Context.MODE_PRIVATE，这样只有您的应用才能访问数据。 SharedPreferences 是一个持久化存储

例如

SharedPreferences prefs = context.getPreferences(Context.MODE_PRIVATE);
prefs.edit().putString("token", token).apply();
token = prefs.getString("token");

为什么不使用 SQLite：

SQLite 是一个数据库，针对表格数据，单个标记不适合这种用例。

为什么不存储在主Activity中：

主要活动在应用程序安装的整个生命周期内都不会存在，它可以随时被操作系统清理。它不是持久数据存储。

Answer 3

我应该将令牌安全地保存在 sqlite 数据库中，还是应该在 Main Activity 中创建一个公共属性？ Main Activity 将始终保留在内存中，因为这会打开片段。

Official Android documentation 已经在“安全和隐私的最佳实践”部分回答了您的问题。它给出了以下声明：

如果您有权访问用户数据并且可以避免存储或传输它，请不要存储或传输数据

换句话说，如果你可以避免持久化，那么不要持久化它。

您在问题中提到了“公共财产”，这让我想知道可见性修饰符的概念是否还不清楚。 Java public 和 private 修饰符用于 controlling access to the members of your class。根据this answer here，它们与安全无关。

如果您确实将令牌保存在内存中，作为public 字段或其他方式，您可以通过将令牌存储在char[] 而不是String 中来稍微减少您的曝光。 this canonical answer 中也对此进行了详细说明。

最后，如果您必须存储令牌，sqlite 数据库不是存储令牌的正确位置。相反，您应该使用提供的KeyStore，这将使在设备受到威胁的情况下更难以提取令牌。上述文档的链接包含代码示例。如果这被证明太难使用，它周围有一些包装器，包括Scytale。

Answer 4

1) 将令牌值存储在基本应用程序单例中（您的应用程序必须是 BaseApplication 的实例）

public class BaseApplication extends Application {
    // token
    private String token = null;
    public String getToken() {return this.token;}
    public void setToken(String token) {this.token = token;}
}

通过上面的实现，您将能够从任何活动/片段中设置和获取令牌值。但是该值不是持久的，一旦应用程序结束就会丢失。

备注：如果您使用令牌进行 REST api 访问，那么您可以使用与上述类似的解决方案将令牌存储在后台服务实例中。

2) 使用 SharedPreferences - 如果您想在应用程序运行之间存储令牌的值，这是推荐的方式。

请看@Ryan 的回答。

Answer 5

您可以使用 SharedPreferences 来存储令牌。它可以通过应用程序使用。

Answer 6

您可以将其存储在 Shared Preference 中，因为这是令牌。

现在来到安全部分，您​​显然可以对共享偏好使用加密。

例如，您可以在下面的库中使用很多未完成的项目 https://github.com/ophio/secure-preferences 关于您的 java 文件中要加密的密钥，您需要确保在将其上传到 playstore 之前应用了 proguard。

以这种方式，现在您的令牌通过共享偏好完全安全。

为了将其保存在 sqlite 中，而不是通过解码或 root 访问，您的 db 文件也可以像首选项一样访问。关于设置中的清除数据，我认为它也会删除您的 sqlite 数据。不过不确定。

希望对你有所帮助。

Answer 7

最好使用Sqlite 或Realm。并存储在应用程序内存中而不是外部内存中。至于驻留在应用程序内存中的数据，我们无需过多担心安全性。保存在 MainActivity 不是一个好的解决方案，因为一旦应用程序关闭，它就会被清除。

存储在Shared Preference 也是一种选择。但是如果用户从设置中清除缓存，这个值也会被清除。 Realm Android Reference Link