那些遇到过的问题

共享首选项安全

Rob*_*yai 5 android

我正在开发一个android模块,并且我必须使用共享的首选项来存储jwt令牌以进行自动登录以及进行其他操作。

我用诸如“令牌”之类的钥匙来存储它。

问题是 :

如果开发人员将我的模块导入他的应用程序,并找到密钥,那么他可以轻松读取我的jwt令牌,这对我不利。

您能给我一些替代解决方案吗?

编辑:我的最低API级别必须为14。

sav*_*ion 0

您可以在保存到共享首选项之前对令牌进行加密,并且在需要使用时可以解密并使用它。

我建议您在保存到共享首选项时使用不可预测的密钥而不是“令牌”

这是一个 Encryption 类,可在 Android 应用程序中用于加密和解密数据。

public final class Encryption {
    private static final String CHIPHER_TRANSFORMATION = "AES/ECB/PKCS5Padding";
    private static final String GENERATE_KEY__ALGORITHM = "PBKDF2WithHmacSHA1";
    private static final String GENERATE_KEY_ALGORITHM = "AES";
    public static final int CRYPTO_TYPE_ENCRYPT = 0;
    public static final int CRYPTO_TYPE_DECRYPT = 1;

    public static String crypto(String inString, int type, String hashKey, String salt, String charset) {
        Cipher cipher = null;
        try {
            cipher = Cipher.getInstance(CHIPHER_TRANSFORMATION);
            byte[] inputByte = inString.getBytes(charset);
            switch (type) {
                case CRYPTO_TYPE_DECRYPT:
                    cipher.init(Cipher.DECRYPT_MODE, initKey(hashKey, salt));
                    return new String(cipher.doFinal(Base64.decode(inputByte, Base64.DEFAULT)));
                case CRYPTO_TYPE_ENCRYPT:
                    cipher.init(Cipher.ENCRYPT_MODE, initKey(hashKey, salt));
                    return new String(Base64.encode(cipher.doFinal(inputByte), Base64.DEFAULT));
            }
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (NoSuchPaddingException e) {
            e.printStackTrace();
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        } catch (IllegalBlockSizeException e) {
            e.printStackTrace();
        } catch (BadPaddingException e) {
            e.printStackTrace();
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        }

        return null;
    }

    private static SecretKey getSecretKey(char[] password, byte[] salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
        SecretKeyFactory factory = SecretKeyFactory.getInstance(GENERATE_KEY__ALGORITHM);
        KeySpec spec = new PBEKeySpec(password, salt, 1024, 128);
        SecretKey tmp = factory.generateSecret(spec);
        return (new SecretKeySpec(tmp.getEncoded(), GENERATE_KEY_ALGORITHM));
    }

    private static SecretKey initKey(String hashKey, String salt) {
        try {
            return getSecretKey(hashKey.toCharArray(), salt.getBytes());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (InvalidKeySpecException e) {
            e.printStackTrace();
        }
        return null;
    }
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

681 次

最近记录:

9 年,1 月 前
保护字符串不变以防逆向工程 23
更多相关链接
相关归档
如何在Android UI中绘制圆角矩形? 127
如何在Android中创建文件? 122
android工具栏popupTheme vs主题 79
工具栏导航图标从未设置 64
无法将Action Provider转换为共享操作提供程序 59
设置Explict注释处理器 57
从LinearLayout获取子元素 54
如何从Gradle设置AAR输出的名称 51
system.gc()和runtime.gc()之间的区别 46
aidl缺少android工作室 42
难疑归档
Reference — What does this symbol mean in PHP? 4314
何时在Java中使用LinkedList而不是ArrayList? 2974
循环内的JavaScript闭包 - 简单实用的例子 2689
403 Forbidden vs 401 Unauthorized HTTP响应 2544
如何使用jQuery刷新页面? 2361
如何在JavaScript中将数字格式化为美元货币字符串? 1711
如何解决"断点当前不会被命中.此文档没有加载任何符号." 警告? 1456
如何迭代Bash中变量定义的一系列数字? 1409
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
如何用"喜欢"查询MongoDB? 1331