我将使用oAuth从谷歌获取邮件和联系人.我不想每次都要求用户登录以获取访问令牌和密码.根据我的理解,我需要将它们与我的应用程序一起存储在数据库中SharedPreferences.但我有点担心安全问题.我读过你可以加密和解密令牌,但是攻击者很容易反编译你的apk和类并获得加密密钥.
在Android中安全存储这些令牌的最佳方法是什么?
是否应该加密Twitter和Facebook等服务的访问令牌?特别是,应该将令牌存储在设备的Keychain vs. UserDefaults中吗?如果用户的设备被盗/被占用,可能会出现哪些安全问题
这是我到目前为止所提出的.
钥匙串的优点: 加密
缺点:用户删除应用时无法清理
UserDefaults的优点: 保留在应用程序内部.
缺点:没有加密.