¿Cuál es la forma más segura de autorizar a un usuario en Android?

En mi aplicación, el usuario inicia sesión con un servicio web y el servicio web devuelve una clave de autorización. Después de ese punto, cada solicitud que el usuario hace se hace con esta clave.

Mi pregunta es cómo almacenar de forma segura esta clave? Lo he estado almacenando en SharedPreferences, pero eso no suena muy seguro para mí.

2 Solutions collect form web for “¿Cuál es la forma más segura de autorizar a un usuario en Android?”

Usted tiene razón al usar preferencias compartidas no es el enfoque a seguir. Usted debe utilizar Android Keystore System para cualquier propósito, es el enfoque preferido.

El sistema Keystore de Android le permite almacenar claves criptográficas en un contenedor para hacerlo más difícil de extraer del dispositivo. Una vez que las claves están en el almacén de claves, se pueden utilizar para operaciones criptográficas con el material clave que permanece no exportable.

Y KeyStoreUsage.java es el ejemplo para el mismo.

  1. Almacenar en claro

    El uso de texto claro significa que no hay protección para los datos de tiempo de ejecución de un usuario suponiendo que el hacker tiene acceso físico al teléfono.

  2. Almacenar cifrado usando una clave simétrica

    Los desarrolladores son un grupo útil y suelen poner las claves de cifrado en lugares fáciles de encontrar como com.packagename.android.util.security. Utilizando el

  3. Keystore para Android

    El sistema Keystore de Android le permite almacenar claves criptográficas en un contenedor para hacerlo más difícil de extraer del dispositivo.

  4. Almacenar cifrado usando claves asimétricas

    Una opción de encriptación asimétrica más segura es almacenar la clave privada de forma remota.

Consulte este artículo para obtener más detalles

  • Protege el acceso a la URL de la API mediante hash en la aplicación para Android
  • De android - CHANGE_COMPONENT_ENABLED_STATE
  • Seguridad de la carpeta de activos de Android
  • Cómo guardar la clave secreta de forma segura en android
  • Falla de confiabilidad de la aplicación en la aplicación v3
  • Permitir que sólo mis aplicaciones Android ejecuten api de punto final en java
  • En Google App Engine, ¿puedo relacionar un Token de Google OAuth 2 y un símbolo de SACSID que obtuve con el AccountManager de Android?
  • Almacenamiento de credenciales de Android: ¿Dónde guardar las claves privadas?
  • ¿Qué sucede mientras se mueve la aplicación a la tarjeta SD en Android
  • ¿Qué tan seguro es proteger contra la ingeniería inversa?
  • Cómo proteger los datos de intención mientras lo envía a través de aplicaciones
  • FlipAndroid es un fan de Google para Android, Todo sobre Android Phones, Android Wear, Android Dev y Aplicaciones para Android Aplicaciones.