极客观点
项目管理
HarmonyOS
我正在创建一个使用用户名/密码连接到服务器的应用程序,我想启用“保存密码”选项,这样用户就不必在每次应用程序启动时都输入密码。
我试图用共享首选项来做到这一点,但我不确定这是否是最好的解决方案。
对于如何在 Android 应用程序中存储用户值/设置的任何建议,我将不胜感激。
原文由 Niko Gamulin 发布,翻译遵循 CC BY-SA 4.0 许可协议
java
android我同意 Reto 和 fiXedd。客观地说,投入大量时间和精力来加密 SharedPreferences 中的密码没有多大意义,因为任何可以访问您的首选项文件的攻击者很可能也可以访问您的应用程序的二进制文件,因此可以访问解密密钥密码。
然而,话虽这么说,似乎确实有一项宣传计划正在识别以明文形式将密码存储在 SharedPreferences 中的移动应用程序,并对这些应用程序发出不利的光芒。有关一些示例,请参阅 http://blogs.wsj.com/digits/2011/06/08/some-top-apps-put-data-at-risk/ 和 http://viaforensics.com/appwatchdog 。
虽然我们需要更多地关注总体安全性,但我认为这种对这一特定问题的关注实际上并没有显着提高我们的整体安全性。然而,尽管如此,这里有一个加密您放置在 SharedPreferences 中的数据的解决方案。
只需将您自己的 SharedPreferences 对象包装在此对象中,您读取/写入的任何数据都将自动加密和解密。例如。
final SharedPreferences prefs = new ObscuredSharedPreferences(
this, this.getSharedPreferences(MY_PREFS_FILE_NAME, Context.MODE_PRIVATE) );
// eg.
prefs.edit().putString("foo","bar").commit();
prefs.getString("foo", null);
这是该类的代码:
/**
* Warning, this gives a false sense of security. If an attacker has enough access to
* acquire your password store, then he almost certainly has enough access to acquire your
* source binary and figure out your encryption key. However, it will prevent casual
* investigators from acquiring passwords, and thereby may prevent undesired negative
* publicity.
*/
public class ObscuredSharedPreferences implements SharedPreferences {
protected static final String UTF8 = "utf-8";
private static final char[] SEKRIT = ... ; // INSERT A RANDOM PASSWORD HERE.
// Don't use anything you wouldn't want to
// get out there if someone decompiled
// your app.
protected SharedPreferences delegate;
protected Context context;
public ObscuredSharedPreferences(Context context, SharedPreferences delegate) {
this.delegate = delegate;
this.context = context;
}
public class Editor implements SharedPreferences.Editor {
protected SharedPreferences.Editor delegate;
public Editor() {
this.delegate = ObscuredSharedPreferences.this.delegate.edit();
}
@Override
public Editor putBoolean(String key, boolean value) {
delegate.putString(key, encrypt(Boolean.toString(value)));
return this;
}
@Override
public Editor putFloat(String key, float value) {
delegate.putString(key, encrypt(Float.toString(value)));
return this;
}
@Override
public Editor putInt(String key, int value) {
delegate.putString(key, encrypt(Integer.toString(value)));
return this;
}
@Override
public Editor putLong(String key, long value) {
delegate.putString(key, encrypt(Long.toString(value)));
return this;
}
@Override
public Editor putString(String key, String value) {
delegate.putString(key, encrypt(value));
return this;
}
@Override
public void apply() {
delegate.apply();
}
@Override
public Editor clear() {
delegate.clear();
return this;
}
@Override
public boolean commit() {
return delegate.commit();
}
@Override
public Editor remove(String s) {
delegate.remove(s);
return this;
}
}
public Editor edit() {
return new Editor();
}
@Override
public Map<String, ?> getAll() {
throw new UnsupportedOperationException(); // left as an exercise to the reader
}
@Override
public boolean getBoolean(String key, boolean defValue) {
final String v = delegate.getString(key, null);
return v!=null ? Boolean.parseBoolean(decrypt(v)) : defValue;
}
@Override
public float getFloat(String key, float defValue) {
final String v = delegate.getString(key, null);
return v!=null ? Float.parseFloat(decrypt(v)) : defValue;
}
@Override
public int getInt(String key, int defValue) {
final String v = delegate.getString(key, null);
return v!=null ? Integer.parseInt(decrypt(v)) : defValue;
}
@Override
public long getLong(String key, long defValue) {
final String v = delegate.getString(key, null);
return v!=null ? Long.parseLong(decrypt(v)) : defValue;
}
@Override
public String getString(String key, String defValue) {
final String v = delegate.getString(key, null);
return v != null ? decrypt(v) : defValue;
}
@Override
public boolean contains(String s) {
return delegate.contains(s);
}
@Override
public void registerOnSharedPreferenceChangeListener(OnSharedPreferenceChangeListener onSharedPreferenceChangeListener) {
delegate.registerOnSharedPreferenceChangeListener(onSharedPreferenceChangeListener);
}
@Override
public void unregisterOnSharedPreferenceChangeListener(OnSharedPreferenceChangeListener onSharedPreferenceChangeListener) {
delegate.unregisterOnSharedPreferenceChangeListener(onSharedPreferenceChangeListener);
}
protected String encrypt( String value ) {
try {
final byte[] bytes = value!=null ? value.getBytes(UTF8) : new byte[0];
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBEWithMD5AndDES");
SecretKey key = keyFactory.generateSecret(new PBEKeySpec(SEKRIT));
Cipher pbeCipher = Cipher.getInstance("PBEWithMD5AndDES");
pbeCipher.init(Cipher.ENCRYPT_MODE, key, new PBEParameterSpec(Settings.Secure.getString(context.getContentResolver(),Settings.Secure.ANDROID_ID).getBytes(UTF8), 20));
return new String(Base64.encode(pbeCipher.doFinal(bytes), Base64.NO_WRAP),UTF8);
} catch( Exception e ) {
throw new RuntimeException(e);
}
}
protected String decrypt(String value){
try {
final byte[] bytes = value!=null ? Base64.decode(value,Base64.DEFAULT) : new byte[0];
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBEWithMD5AndDES");
SecretKey key = keyFactory.generateSecret(new PBEKeySpec(SEKRIT));
Cipher pbeCipher = Cipher.getInstance("PBEWithMD5AndDES");
pbeCipher.init(Cipher.DECRYPT_MODE, key, new PBEParameterSpec(Settings.Secure.getString(context.getContentResolver(),Settings.Secure.ANDROID_ID).getBytes(UTF8), 20));
return new String(pbeCipher.doFinal(bytes),UTF8);
} catch( Exception e) {
throw new RuntimeException(e);
}
}
}
原文由 emmby 发布,翻译遵循 CC BY-SA 3.0 许可协议
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
Java 开发 URL 匹配问题?
所有url都是对应 spring boot 3.5.0 @PostMapping访问前先进拦截器,查看有没有访问权限,获取请求url,然后根据url去查是否有匹配的,现在静态的1,3,7直接查询是否相等就可以了,对于动态2,4,5,6怎么匹配?4 回答1.5k 阅读✓ 已解决
诺依框架自动生成代码前端Vue3提交数据,后端Java没收到问题出在哪里?
使用诺依框架自动生成代码功能。前端在请求地址处打印提交数据(有数据)如下图,后端Debug模式,进入断点查看数据如下图所示(无数据),问题一般出在哪里?========== Payload ===========4 回答1.3k 阅读✓ 已解决
WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ?
在wsl装了Ubuntu20,clone了以前的Java项目,但是用Vscode打开项目报错,请问这是哪个环节出现了问题,以前clone下来直接跑,在win10环境也是正常启动的,请问是mvn环境的配置问题,还是WSL的环境配置问题?1 回答2.6k 阅读✓ 已解决
微信小程序多端应用(安卓App)为何加载的还是旧的1.png图片?
微信小程序多端应用(安卓App)为何加载的还是旧的1.png图片?为何微信小程序多端应用(安卓App)内的图片不更新为新的,新的图和旧的图都叫1.png,用新的1.png替换了旧的1.png,可是小程序多端应用内的1.png依旧显示的是旧的?做过的图片测试是,浏览器直接访问图片地址刚开始显示的是旧的,强制刷新页面就显示为新的了...3 回答942 阅读✓ 已解决
MyBatis Plus 如何对敏感字段加解密(使用哪种加密方式)?
MyBatis Plus 如何对敏感字段加解密(使用哪种加密方式)?不同敏感字段需要使用不同的密钥,加密取出后给前端需要做脱敏,脱敏是在 Jackson 序列化到前端的时候做吗?3 回答1.9k 阅读
安卓+h5如何传输文件引用?
项目中使用 WebView 加载了一个页面,现在需要在安卓中把一个File对象传输到H5中使用,就像使用<input type="file"/>那样,可以通过input.files[0]获取到H5的File对象(它不会将文件读取到内存中),目前传输文件只能通过input方式,但是必须要用户点击才能触发。2 回答1k 阅读✓ 已解决
请问是否有什么方案实现不同用户之间本地数据库的同步呢?
请问是否有这样的功能?比如我本地A应用有应用sqlite数据库,然后用户B有同样的应用,C用户也有。A的数据库会自己增删改查,B/C的也会,但是有一天他们想要同步数据。请问是否有什么方案实现呢?2 回答769 阅读✓ 已解决
本篇内容翻译自 Stack Overflow,如果你觉得翻译结果值得改进,欢迎直接编辑修改,感谢你为社区贡献。
宣传栏
一般来说,SharedPreferences 是存储首选项的最佳选择,因此通常我会推荐使用这种方法来保存应用程序和用户设置。
这里唯一需要关注的是您要保存的内容。密码总是很难存储的,我会特别小心地将它们存储为明文。 Android 架构使得您的应用程序的 SharedPreferences 被沙盒化以防止其他应用程序能够访问这些值,因此存在一些安全性,但对手机的物理访问可能会允许访问这些值。
如果可能的话,我会考虑修改服务器以使用协商令牌来提供访问权限,例如 OAuth 。或者,您可能需要构建某种加密存储,尽管这很重要。至少,确保在将密码写入磁盘之前对其进行加密。