加密数据储存工具:Keychain 介绍与使用

最新推荐文章于 2024-03-23 09:32:02 发布
最新推荐文章于 2024-03-23 09:32:02 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: iOS开发 文章标签: keychain
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/id314846818/article/details/83037117
版权

一、简介

iOS 设备中的 keychain 为用户安全储存一些敏感数据,比如用户密码,认证令牌等。苹果自己用 keychain 来保存 Wi-Fi 密码,证书等等。Keychain 内的数据可以通过开启 keychain-sharing 功能,用于在同一 keychain group 下具有相同 TeamID 的 Apps 之间共享。

Keychain 所保存数据都加密过,内部是使用 sqlite 数据库来储存,位于 /private/var/Keychains/keychain-x.db。由于 keychain 的储存位置在 App 沙盒之外,所以用户删除 App 时,keychain 储存的数据并不会被删除。由于这种情形可能会导致一些用户隐私泄露问题,苹果表示不保证 keychain 数据在 App 删除之后一直存在,这种情况只是 keychain 储存数据的一些实现细节,而且苹果也曾在 iOS 10.3 的一些 Beta 版本修改过这一特性,最终可能是考虑实际影响比较大,并没有发布到正式版本。

其中一个常用的使用场景是储存用户登录命令牌,以期望用户卸载 App 再安装的时候能够直接登录。每当请求用户数据时,都需要带上登录命令牌,其中需要注意 keychain 数据的 IO 需要加解密,相对较耗性能,所以应尽量避免频繁直接读写 keychain 数据。

二、Keychain 基础

Keychain 中所储存的每条数据,官方称为 SecItem,对 SecItem 的操作需要有对应的 query 信息,这些 query 信息需要使用系统提供的 key,下面主要介绍以下几种常用类型:

  • 表示储存数据类型的 key,一共包含两个,内容种类与数据储存类型
    1)储存内容的种类: kSecClass,可选值有:

    kSecClassGenericPassword(普通密码)
    kSecClassInternetPassword(互联网密码)
    kSecClassCertificate(证书)
    kSecClassKey(安全密钥)
    kSecClassIdentity(标识符)

    通常我们使用的值是 kSecClassGenericPassword

    3)对于 kSecClass 的值为 kSecClassGenericPassword 时,对应储存数据类型为 NSData,储存数据类型的 key 为 kSecValueData。对于其他的类型的操作有不同的 API 支持,目前只针对这种类型进行介绍。

  • Keychain 数据共享组:kSecAttrAccessGroup

    kSecAttrAccessGroup(允许访问的Group):如果不设置则自动使用plist里设置的第一个,通常plist里会配置成TeamID+BundleID,既是appID前缀加应用打包设置的BundleID。

  • 一种是 SecItem 详细属性的 key,主要包含 kSecAttrGeneric、kSecAttrAccount、kSecAttrService、kSecAttrAccessGroup

    kSecAttrGeneric(一般属性):可以不设置,也可以设置,但不影响唯一性。

    kSecAttrAccount(账号)
    值是一个String,标志唯一的账号。(不设置则视为@””)。
    kSecAttrService(服务):
    值是一个String,标志唯一的服务。相当于与kSecAttrAccount一同看成一个联合主键,标志唯一的SecItem。存不同的内容应该使用不同的服务或账号。(不设置则视为@””)

  • 设置 SecItem 访问控制(添加时使用): kSecAttrAccessible ,如果增加用户授权设置的话则用 kSecAttrAccessControl(iOS 8 新增)
    1)kSecAttrAccessible 可选值

    kSecAttrAccessibleWhenUnlocked (系统默认):设备解锁时

    kSecAttrAccessibleAfterFirstUnlock:设备第一次解锁时

    kSecAttrAccessibleAlways(不建议使用):任何时候

    kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly:当前设备,设置密码时

    kSecAttrAccessibleWhenUnlockedThisDeviceOnly:当前设备,解锁时

    kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly:当前设备,首次解锁时

    kSecAttrAccessibleAlwaysThisDeviceOnly:当前设备,任何时候

    2)kSecAttrAccessControl 值为一个 SecAccessControlRef 对象,SecAccessControlRef 主要包含两个主要参数,一个是上面讲到的 kSecAttrAccessible,另外一个是 SecAccessControlCreateFlags 用于设置用户验证相关的权限

  • 备份至 iCloud :kSecAttrSynchronizable
    如果需要备份,则在添加 SecItem 时,对应的值设置为 @YES 。如果想同步到其他设备上也能使用,请避免使用DeviceOnly 设置或者其他设备相关控制权限。

三、使用

Keychain 数据的增删改查的主要 API:

```
/** 添加 */
OSStatus SecItemAdd(CFDictionaryRef attributes, CFTypeRef * __nullable 	CF_RETURNS_RETAINED result);
/** 查询 */
OSStatus SecItemCopyMatching(CFDictionaryRef query, CFTypeRef * __nullable 	CF_RETURNS_RETAINED result);
/** 更新 */
OSStatus SecItemUpdate(CFDictionaryRef query, CFDictionaryRef attributesToUpdate);
/** 删除 */
OSStatus SecItemDelete(CFDictionaryRef query);
```

query 信息

- (NSMutableDictionary *)queryWithAccount:(NSString *)account service:(NSString *)service  {
	
	NSMutableDictionary *dictionary = [NSMutableDictionary dictionaryWithCapacity:3];
	
	// 设置储存的数据类型为「通用密码」
	[dictionary setObject:(__bridge id)kSecClassGenericPassword forKey:(__bridge id)kSecClass];
	
	// account 与 service 可以认为是联合主键
	[dictionary setObject:service forKey:(__bridge id)kSecAttrService];
	[dictionary setObject:account forKey:(__bridge id)kSecAttrAccount];
	
	// kSecAttrAccessGroup 不设置则自动使用plist里设置的第一个
	[dictionary setObject:@"com.xxxx.xx.accessgroup" forKey:(__bridge id)kSecAttrAccessGroup];
	
	// 需要注意,如果设置为 YES, 怎在添加 SecItem 时,kSecAttrAccessible 就不要设置为 DeviceOnly
	[dictionary setObject:@YES forKey:(__bridge id)(kSecAttrSynchronizable)];

	return dictionary;
}
`

新增 SecItem

NSMutableDictionary* query = [self queryWithAccount: @"account" service:@"service"];

// 需要保存的内容
[query setObject:[@"password_xxx" dataUsingEncoding:NSUTF8StringEncoding] forKey:(__bridge id)kSecValueData];

// 设置访问权限(如果需要本地验证,则创建 SecAccessControlRef 对象,使用 kSecAttrAccessControl Key)
[query setObject:(__bridge id)kSecAttrAccessibleWhenUnlocked forKey:(__bridge id)kSecAttrAccessible];

// 设置与否不影响数据的唯一性
[query setObject:self.label forKey:(__bridge id)kSecAttrLabel];

// 插入数据
OSStatus s = SecItemAdd((__bridge CFDictionaryRef)query, NULL);

更新

// 指定需要更新的条目
NSMutableDictionary * searchQuery =  [self queryWithAccount: @"account" service:@"service"];

// 需要更新的属性
NSMutableDictionary *update = [[NSMutableDictionary alloc]init];
[update setObject:self.passwordData forKey:(__bridge id)kSecValueData];
[update setObject:(__bridge id)kSecAttrAccessibleWhenUnlocked forKey:(__bridge id)kSecAttrAccessible];

status = SecItemUpdate((__bridge CFDictionaryRef)(update), (__bridge CFDictionaryRef)(query));

查询

CFTypeRef result = NULL;
NSMutableDictionary* query = [self queryWithAccount: @"account" service:@"service"];

// 需要返回值,如果只判断条目是否存在则不需要设置
[query setObject:@YES forKey:(__bridge id)kSecReturnData];

// 设置只需要一条结果
[query setObject:(__bridge id)kSecMatchLimitOne forKey:(__bridge id)kSecMatchLimit];

// 查找
status = SecItemCopyMatching((__bridge CFDictionaryRef)query, &result);
if (statue == errSecSuccess) {
	// 获取到的数据
	NSData *passwordData = (__bridge_transfer NSData *)result;
}

删除

NSMutableDictionary* query = [self queryWithAccount: @"account" service:@"service"];
status = SecItemDelete((__bridge CFDictionaryRef)query);
// 注:Mac 上 keychain 储存机制不同,需要做额外处理

不同的 keychain 储存类型,以及对应的参数


  iOS钥匙串KeyChain相关参数的说明
    密匙类型:
    键:
        CFTypeRef kSecClass
    值:
        CFTypeRef kSecClassGenericPassword   //一般密码
        CFTypeRef kSecClassInternetPassword  //网络密码
        CFTypeRef kSecClassCertificate		 //证书
        CFTypeRef kSecClassKey               //密钥
        CFTypeRef kSecClassIdentity          //身份证书(带私钥的证书)
    
    密钥串项属性
    1.kSecClassGenericPassword  //一般密码
    属性:
        kSecAttrAccessible         //kSecAttrAccessiblein变量用来指定这条信息的保护程度
        kSecAttrAccessGroup        //密钥访问组
        kSecAttrCreationDate       //创建日期(read only)
        kSecAttrModificationDate   //最后一次修改日期
        kSecAttrDescription        //描述
        kSecAttrComment            //注释
        kSecAttrCreator            //创建者
        kSecAttrType               //类型
        kSecAttrLabel              //标签(给用户看)
        kSecAttrIsInvisible        //是否隐藏
        kSecAttrIsNegative         //是否具有密码
        kSecAttrAccount            //账户名
        kSecAttrService            //所具有服务
        kSecAttrGeneric            //用户自定义内容
    
    
    2. kSecClassInternetPassword //网络密码
    属性:
        kSecAttrAccessible
        kSecAttrAccessGroup
        kSecAttrCreationDate
        kSecAttrModificationDate
        kSecAttrDescription
        kSecAttrComment
        kSecAttrCreator
        kSecAttrType
        kSecAttrLabel
        kSecAttrIsInvisible
        kSecAttrIsNegative
        kSecAttrAccount
        kSecAttrSecurityDomain
        kSecAttrServer
        kSecAttrProtocol             //协议类型 CFNumberRef
        kSecAttrAuthenticationType   //认证类型 CFNumberRef
        kSecAttrPort                 //网络端口
        kSecAttrPath                 //访问路径
    
    
    3.kSecClassCertificate //证书
    属性:
        kSecAttrAccessible
        kSecAttrAccessGroup
        kSecAttrLabel
        kSecAttrCertificateType       //证书类型
        kSecAttrCertificateEncoding   //证书编码类型
        kSecAttrSubject               //X.500主题名称
        kSecAttrIssuer                //X.500发行者名称
        kSecAttrSerialNumber          //序列号
        kSecAttrSubjectKeyID          //主题ID
        kSecAttrPublicKeyHash         //公钥Hash值
    
    4.kSecClassKey//密钥
    属性:
        kSecAttrAccessible            //变量用来指定这条信息的保护程度
        kSecAttrAccessGroup           //密钥存取群
        kSecAttrKeyClass              //加密密钥类
        kSecAttrLabel                 //标签
        kSecAttrApplicationLabel      //标签(给程序使用) CFStringRef(通常是公钥的Hash值)
        kSecAttrIsPermanent           //是否永久保存加密密钥
        kSecAttrApplicationTag        //标签(私有标签数据)
        kSecAttrKeyType               //加密密钥类型(算法)
        kSecAttrKeySizeInBits         //密钥总位数     CFNumberRef
        kSecAttrEffectiveKeySize      //密钥有效位数  CFNumberRef
        kSecAttrCanEncrypt            //密钥是否可用于加密  CFBooleanRef
        kSecAttrCanDecrypt            //密钥是否可用于解密  CFBooleanRef
        kSecAttrCanDerive             //密钥是否可用于导出其他密钥 CFBooleanRef
        kSecAttrCanSign               //密钥是否可用于数字签名  CFBooleanRef
        kSecAttrCanVerify             //密钥是否可用于验证数字签名  CFBooleanRef
        kSecAttrCanWrap               //密钥是否可用于打包其他密钥  CFBooleanRef
        kSecAttrCanUnwrap             //密钥是否可用于解包其他密钥  CFBooleanRef
    
    5.kSecClassIdentity  //身份证书(带私钥的证书)
    属性:
        1.证书属性
        2.私钥属性
    
    
    密钥串项属性的值:
    属性:
    1.kSecAttrAccessible
        CFTypeRef kSecAttrAccessibleWhenUnlocked;      //解锁可访问,备份
        CFTypeRef kSecAttrAccessibleAfterFirstUnlock;  //第一次解锁后可访问,备份
        CFTypeRef kSecAttrAccessibleAlways;            //一直可访问,备份
        CFTypeRef kSecAttrAccessibleWhenUnlockedThisDeviceOnly;     //解锁可访问,不备份
        CFTypeRef kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly; //第一次解锁后可访问,不备份
        CFTypeRef kSecAttrAccessibleAlwaysThisDeviceOnly;           //一直可访问,不备份
    2.kSecAttrProtocol
        略...
    3.kSecAttrKeyClass  //加密密钥类  CFTypeRef
          CFTypeRef kSecAttrKeyClassPublic;     //公钥
          CFTypeRef kSecAttrKeyClassPrivate;    //私钥
          CFTypeRef kSecAttrKeyClassSymmetric;  //对称密钥
    
    
    返回值类型
    可以同时指定多种返回值类型
        CFTypeRef kSecReturnData;           //返回数据(CFDataRef)                  CFBooleanRef
        CFTypeRef kSecReturnAttributes;     //返回属性字典(CFDictionaryRef)         CFBooleanRef
        CFTypeRef kSecReturnRef;            //返回实例(SecKeychainItemRef, SecKeyRef, SecCertificateRef, SecIdentityRef, or CFDataRef)         CFBooleanRef
        CFTypeRef kSecReturnPersistentRef;  //返回持久型实例(CFDataRef)             CFBooleanRef
    
	写入值类型
        CFTypeRef kSecValueData;
        CFTypeRef kSecValueRef;
        CFTypeRef kSecValuePersistentRef;
L_Jason先生
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解iOS使用Keychain中的kSecClassGenericPassword存储数据
09-01
iOS设备中的Keychain是一个安全的存储容器,本篇文章主要介绍了iOS使用Keychain中的kSecClassGenericPassword存储数据,有兴趣的可以了解一下。
real-keychain:KeyChain 登录系统(Arduino 项目)
07-09
真正的钥匙扣 #Arduino arduino-keychain.ino 需要 arduino 莱昂纳多 #Chrome 扩展 chrome-keychain 更新用户名、密码、manifest.json #电影
探索Keychain-Swift:安全存储数据的利器
最新发布
gitblog_00034的博客
03-23 233
探索Keychain-Swift:安全存储数据的利器 项目地址:https://gitcode.com/evgenyneu/keychain-swift Keychain-Swift 是一个开源的Swift库,它为iOS, macOS, tvOS和watchOS应用提供了一个简单易用的方式来与系统的Keychain服务进行交互。Keychain作为Apple设备上的一个重要组件,主要用于安全地存储...
keychain:与Node.js中的Web加密API一起使用KeyChain
05-09
与Node.js中的Web加密API一起使用KeyChain 用法 安装套件 $ npm install https://github.com/anvilresearch/keychain.git 加载模块 const KeyChain = require ( 'keychain' ) 通过将描述性对象传递给KeyChain构造函数来创建新实例。 该对象可以具有任何命名或嵌套方案,只要最后一个嵌套对象包含描述密钥生成的参数即可。 最低限度,它必须包含alg属性,并将JWA算法名称作为其值。 当前,支持RS256 , RS384和RS512 。 let keys = new KeyChain ( { a : { b : { alg : 'RS256' } } , c : { d : { alg : 'RS256' } } , e : { f : { alg : 'RS25
iOS开发钥匙串保存信息
u013250412的专栏
11-26 3889
第一步设置钥匙串存储分组: file:///Users/aojinrui/Library/Containers/com.tencent.qq/Data/Library/Application%20Support/QQ/Users/952279913/QQ/Temp.db/C984A25D-8140-494F-97CE-FA91DD1B53E7.png 第二步导入KeychainIt
iOS 之keychain详解(附有Demo)
agongcao9295的博客
08-08 412
iOS keychain是苹果用来保存用户私密数据的一个专业的SQLite数据库。保存的数据主要是一些轻量级的私密数据,比如用户密码,token(令牌)等,保存在这个数据库中的密码不会因为你卸载了app就不见了,只要你重新安装app。调用相关的服务、账户API就能得到app上次保存在数据库中的密码。这对于用户卸载app之后又重新安装但是却忘记了密码的情况很适用。 有一点很奇怪,经测试,...
iOS KeyChain 浅析以及应用(数据AES加密)附demo
u013712343的博客
09-23 1419
一.iOS钥匙串KeyChain 解析 根据苹果的介绍,iOS备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存Wi-Fi网络密码,VPN凭证等等。它是一个sqlite 数据库,位于/private/var/Keychains/keychain-2.db,其保存的所有数据都是加密过的。 Keychain可以实现用户信息自动登录和应用之间的数据共享,由于通过Keychain保存的信息是存在于每个应...
Jenkins-iOS自动化打包
zhaoyang0429的博客
04-02 1293
Jenkins网站 一、Jenkins的安装 & 卸载 1.安装 使用brew安装 brew install jenkins 若brew无效,先安装homebrew ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 通过homedrew安装后jenkins安装好后所在的位置: 实际安装位置:/usr/local/Cellar/jenkins/ 配置文件所在位置:/us
移动端系统生物认证技术详解
恋猫de小郭的博客
03-29 5994
相信大家对于生物认证应该不会陌生,使用指纹登陆或者 FaceId 支付等的需求场景如今已经很普遍,所以基本上只要涉及移动端开发,不管是 Android 、iOS 或者是 RN 、Flutter 都多多少少会接触到这一业务场景。 当然,不同之处可能在于大家对于平台能力或者接口能力的熟悉程度,所以本篇主要介绍 Android 和 iOS 上使用系统的生物认证需要注意什么,具体流程是什么,给需要或者即将需要的大家出一份汇总的资料。 ⚠️注意:本篇更倾向于调研资料的角度,适合需要接入或者在接入过程中出现疑问的方
KeyChain相关参数的说明
weixin_30786657的博客
03-31 204
#pragma mark-密钥类型 //密钥类型键 //CFTypeRef kSecClass // //值 //CFTypeRef kSecClassGenericPassword//一般密码 //CFTypeRef kSecClassInternetPassword //网络密码 //CFTypeRef kSecClas...
iOS KeyChain demo(数据AES加密
10-29
ios keyChain,keyChain,用户信息保存,自动登录,用户密码保存
iOS 使用Keychain中的kSecClassGenericPassword存储数据
司马懿的西山居
06-11 7779
iOS设备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存Wi-Fi网络密码,VPN凭证等等。它是一个sqlite数据库,位于/private/var/Keychains/keychain-2.db,其保存的所有数据都是加密过的。 keychain里保存的信息不会因App被删除而丢失,在用户重新安装Ap
安卓设置keychain_KeyChainWrapper - keychain简单使用
weixin_39656206的博客
12-20 193
#import @interfaceFFKeyChain : NSObject+ (void)save:(NSString *)serve data:(id)Data;+ (id)read:(NSString *)serve;@end#import "FFKeyChain.h"@implementationFFKeyChain/*https://blog.csdn.net/zhoushuangji...
数据永久储存-keychain使用
兄弟联盟工作室的专栏
04-04 1822
通常情况下,我们用NSUserDefaults存储数据信息,但是对于一些私密信息,比如密码、证书等等,就需要使用更为安全的keychain了。keychain里保存的信息不会因App被删除而丢失,在用户重新安装App后依然有效,数据还在。 使用苹果官方发布的KeychainItemWrapper或者SFHFKeychainUtils很方便,后来看到 iphone使用keychain来存取用户名和
iOS Keychain,SSKeychain使用 理解 原理
weixin_30716141的博客
03-04 125
我的邮件:[email protected] 如果有这篇文章对您有帮助就点下推荐或者随意评论一个呗,谢谢谢谢,随便转载,标明出处就好。 Keychain 使用? ---为了实用最大化我觉得我应该直接先说使用! 当然是使用第三方库啦:sskeychain 3000+星星的库不开玩笑。github地址:https://github.com/soffes/sskeychain 导入完之后首先,编译一下...
iOS 用密钥对数据加密解密
driftAxe的专栏
03-10 3321
引言在iOS App应用开发中,我们需要对用户的个人私密信息进行加密处理,从而保证用户信息的安全性。 这里所说的用户私密信息,如用户的账户,密码等等。为了保证数据的安全性,我们可以将这些私密信息保存到钥匙串(keychain)中,因为钥匙串的不可见性,可以保证用户私密信息的安全。 有一点要说明的,钥匙串中存入明文的私密信息,这是不安全的。我们可以将用户私密信息通过算法加密后再存进钥匙串中,这样就
Keychain的简单使用
feizhu422的专栏
08-06 638
一、简介 keychain是苹果提供的一种较为安全的数据存储形式,keychain不会因APP的删除而丢失,重新安装APP之后,数据还会存在。使用时需要导入Security.framework框架 二、基础使用方法 增:SecItemAdd(CFDictionaryRef attributes,CFTypeRef *result) 增加一个或多个条目到keychain,注意
keychain介绍
cheng_xing_的博客
11-26 6171
1. keychain概述 1.1 keychain是什么 苹果官网对钥匙串的描述 iOS keychain 是一个相对独立的空间,是用SQLite进行存储的,可以加密我们保存的数据,并且使用keychain service API增删改查。 keychain的是以item为单位存储的。data是数据本身,attributes就是数据库中的键。 1.2 keychain的优点 相对于NSUserDefaults、plist文件保存等一般方式,keychain有以下优点 keych.
keychain认证
01-10
Keychain认证是一种用于降低BGP协议被攻击的认证机制。它使用一组密码,并可以根据配置自动切换密码,从而增加了攻击者破解认证密码的难度。在配置BGP Peer设备时,可以通过以下步骤来配置Keychain认证: 1. 首先,在BGP Peer设备上创建一个Keychain,并为其指定一个名称(<keychain-name>)。 2. 然后,为Keychain加密码,可以添加多个密码。 3. 接下来,将Keychain应用到BGP Peer设备上,以实现认证。 重复以上步骤,在BGP Peer 2设备上配置相同的Keychain认证。 请注意,具体的配置步骤可能因设备和操作系统的不同而有所差异。因此,在实际配置时,请参考设备的文档或操作指南以获取准确的配置步骤和命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值