在 React Native 中保存敏感数据

Question

我正在构建一个 React Native 应用程序，我需要保存一些敏感数据，例如令牌和刷新令牌。显而易见的解决方案是使用AsyncStorage 保存该信息。问题在于 AsyncStorage 的安全级别。

AsyncStorage 提供了一种在本地存储令牌和数据的方法。它可以 在某些方面，与 LocalStorage 选项相比。在全 生产应用，建议不要访问 AsyncStorage 直接，而是使用抽象层，因为 AsyncStorage 是 与使用相同浏览器的其他应用程序共享，因此 考虑不周地从存储中移除所有物品可能会损害 相邻应用的功能。

https://auth0.com/blog/adding-authentication-to-react-native-using-jwt/

在本机应用程序中，我会在iOS 中选择Keychain，在Android 中选择私人模式 中的Shared Preferences。

对于我在 React Native 提供的文档中读到的内容：

在 iOS 上，AsyncStorage 由存储小值的本机代码支持 在序列化字典和单独文件中的较大值中。在 Android，AsyncStorage 将根据什么使用 RocksDB 或 SQLite 可用。

https://facebook.github.io/react-native/docs/asyncstorage.html

他们从不谈论这些数据的安全性。

最好的解决方案是为Android（在私有模式中使用Shared Preferences）和iOS（使用钥匙串）创建一个模块保存敏感数据？或者使用提供的AsyncStorage 方法是否安全？

Answer 1

刚刚深入研究了 React Native 代码，我找到了答案。

安卓

React NativeAsyncStoragemodule 实现基于SQLiteOpenHelper。 处理所有数据类的包：https://github.com/facebook/react-native/tree/master/ReactAndroid/src/main/java/com/facebook/react/modules/storage

带有创建数据库说明的类：https://github.com/facebook/react-native/blob/master/ReactAndroid/src/main/java/com/facebook/react/modules/storage/ReactDatabaseSupplier.java

根据 Android 文档，应用程序创建的数据库保存在与应用程序关联的私有磁盘空间中，因此是安全的。

就像您保存在设备内部存储中的文件一样， Android 将您的数据库存储在关联的私有磁盘空间中 应用。您的数据是安全的，因为默认情况下此区域不 其他应用程序可以访问。

Source

iOS

在 iOS 中，AsyncStorage 值保存在序列化的字典文件中。这些文件保存在应用程序NSDocumentDirectory 中。在 iOS 中，所有应用程序都存在于它们自己的沙箱中，因此一个应用程序的所有文件都是安全的，其他应用程序无法访问它们。

iOS 中处理AsyncStorage 模块的代码可以在这里找到：https://github.com/facebook/react-native/blob/master/React/Modules/RCTAsyncLocalStorage.m

我们可以看到here 用于存储AsyncStorage 保存的值的文件保存在NSDocumentDirectory 下（在应用程序沙箱环境中）。

每个应用程序都是一个岛 iOS 应用程序与文件系统的交互 主要限于应用程序沙箱内的目录。期间 安装新应用程序时，安装程​​序会创建一些 应用程序的容器。每个容器都有特定的角色。捆绑 容器保存应用程序的包，而数据容器保存 应用程序和用户的数据。数据容器是 进一步划分为应用程序可以使用的多个目录 对其数据进行排序和组织。该应用程序还可能请求访问 运行时的其他容器，例如 iCloud 容器。

Source

结论

使用AsyncStorage 保存用户令牌是安全的，因为它们保存在安全上下文中。

请注意，这仅适用于没有 root 的 Android 设备和没有 越狱 的 iOS 设备。另请注意，如果攻击者对设备具有物理访问权限，并且设备不受保护。他可以将设备连接到mac笔记本和extract the documents目录下，就可以看到documents目录下保存的所有内容。

Answer 2

AsyncStorage 将键值对保存为 Documents 目录中的纯文本 JSON 文件。 它不加密其内容。

这是一个安全问题（至少在 iOS 上），因为有权访问设备的攻击者可能会获取沙盒内容的转储并轻松提取通过AsyncStorage 保存的任何数据。

这曾经在 AsyncStorage.js 的文档中没有明确说明，但现在是： https://github.com/facebook/react-native/pull/8809

另见：https://stackoverflow.com/a/38398114/1072846

Answer 3

如果有人想要对数据进行加密的额外步骤，您可能需要查看以下内容：https://github.com/oblador/react-native-keychain

它在内部使用facebook conceal。

Answer 4

我真的建议您使用像react-native-keychain 这样的库来将私有数据存储在react-native 中

对于 Android API 级别：

• 16-22 使用 Facebook 隐藏
• 23+ 使用 Android 密钥库

你可以这样使用它：

// Generic Password, service argument optional
Keychain
  .setGenericPassword(username, password)
  .then(function() {
    console.log('Credentials saved successfully!');
  });

// service argument optional
Keychain
  .getGenericPassword()
  .then(function(credentials) {
    console.log('Credentials successfully loaded for user ' + credentials.username);
  }).catch(function(error) {
    console.log('Keychain couldn\'t be accessed! Maybe no value set?', error);
  });