我想存储用于签署我在安全的地方开发的财务应用程序的密码.在做了一些网上冲浪后,我发现了以下选项,但每个选项都有一定的缺点.
1)KeyChain.
仅适用于OS版本4.
2)共享偏好.
它以纯文本形式存储数据,即使我加密数据,也可以通过反编译应用程序代码来破坏加密密钥.
3)访问密钥库守护程序并在其中存储凭据.
(http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html)需要记住另一个密码.
请建议我更好的方法来保护Android应用程序中的凭证信息,如IPhone KeyChain.
我知道这个问题已被问过千次,但我仍然无法正确理解答案.当我搜索这个主题时,我发现大多数人都建议使用Oauth来保护Restful webservice.
我相信只有当您希望第三方应用程序允许访问安全资源而不共享用户凭据时,oauth才适用.
在我的情况下,我希望获得宁静的服务,只能通过我们自己开发的移动应用程序访问.我无法理解,只有为了这个目的,我才能利用oauth来获取宁静的资源.我的要求是用户第一次将他的凭证输入到应用程序中.成功验证后,应用程序将收到一个访问令牌,然后该令牌将用于访问受保护的资源.
然而,如果ouath用户首先从移动应用程序(假设移动应用程序作为第三方应用程序)被重定向到授权提供商网站,在那里他输入凭证,然后通过回叫URL,移动应用程序接收访问令牌以获得访问权限.安全的资源.
我阅读了Apigee的Web API设计指南,他们强烈建议使用ouath.实际上Apigee App Services是使用oauth保护的,他们正在使用oauth做同样的事情.如下面的curl命令显示了如何根据apigee API文档使用用户名和密码获取访问令牌.
curl -X POST -i -H "Content-Type: application/json" "https://api.usergrid.com/my-org/my-app/token" -d '{"grant_type":"password","username":"john.doe","password":"testpw"}'
我的第一个问题是,如果我遵循允许第三方应用程序获取访问令牌而没有任何重定向和回调的相同方法,它是否会导致违反Oauth规范?
我的第二个问题是,我们可以将ouath用于没有涉及第三方应用程序的情况,并且在没有任何确认的情况下,在应用程序用户和资源提供者之间进行安全的资源访问.