Безопасно ли хранить маркеры доступа / обновления Oauth2 в общих настройках в Android?

Question

Я знаю, что могу установить значения «MODE_PRIVATE», и только мой application / userId сможет получить к ним доступ, однако есть ли какой-нибудь способ для пользователя получить к ним доступ в любой момент?Так что «безопасно» хранить их в общих настройках или есть лучшее место?

Кроме того, если позже я решу выставить некоторые настройки для настройки пользователем, смогу ли я скрыть эти значения?

Спасибо.

Редактировать: я тоже знаю о Внутреннем хранилище, но мне интересно, могу ли я достичь чего-то более простого с помощью общих настроек.

Answer 1

Общие настройки - это просто текстовый XML-файл, который хранится в папке данных приложения.Это не безопасное место, в любом случае.Это довольно легко просмотреть эти файлы и извлечь токены.Вы по-прежнему можете использовать общие настройки, но вам необходимо зашифровать информацию, которую вы храните.Что касается «Внутреннего хранилища», они находятся в одном и том же месте с «Общими настройками», поэтому их по-прежнему легко просматривать.

Ваши незашифрованные данные защищены от ДРУГИХ приложений, работающих на телефоне, но незлоумышленники.

Answer 2

Даже если вы храните токены доступа в безопасном месте на устройстве, вам следует подумать, что они могут быть обнаружены.Вот почему у вас не должно быть секрета клиента в коде вашего мобильного приложения.Для токенов доступа вы можете попытаться сохранить их в безопасности, но вы не можете сделать их на 100% безопасными.Таким образом, вы не должны получать ненужные области действия или неоправданно длинные токены.

ps.Как правило, мобильное устройство использует «response_type = token (неявное предоставление)», и оно не должно получать токены обновления.Хотя это зависит от политики сервера аутентификации ..

Answer 3

Если вы хотите показать какие-то предпочтения пользователю, вам не придется беспокоиться об этом.Я думаю, что shared_preferences будет, пожалуй, самым безопасным местом для хранения этих вещей.Если у пользователя нет рутированного телефона и он не разрешает вредоносному приложению просматривать файлы данных, то, насколько я знаю, беспокоиться не о чем.Хотя я с нетерпением жду других отзывов.играл главную роль!