你会如何存储用户的一些敏感信息,如登录的token

最新推荐文章于 2024-06-03 17:34:56 发布
最新推荐文章于 2024-06-03 17:34:56 发布
阅读量2k 收藏
点赞数
分类专栏: iOS iOS面试题 移动开发 iOS开发 架构师 文章标签: iOS开发 程序员 iOS面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42792413/article/details/88957898
版权
iOS开发 同时被 3 个专栏收录
171 篇文章 1 订阅
订阅专栏
iOS
161 篇文章 2 订阅
订阅专栏
移动开发
114 篇文章 0 订阅
订阅专栏

使用keychain来存储,也就是钥匙串,使用keychain需要导入Security框架

iOS的keychain服务提供了一种安全的保存私密信息(密码,序列号,证书等)的方式,每个ios程序都有一个独立的keychain存储。相对于 NSUserDefaults、文件保存等一般方式,keychain保存更为安全,而且keychain里保存的信息不会因App被删除而丢失,所以在 重装App后,keychain里的数据还能使用。从ios 3。0开始,跨程序分享keychain变得可行。

如何需要在应用里使 用使用keyChain,我们需要导入Security.framework ,keychain的操作接口声明在头文件SecItem.h里。直接使用SecItem.h里方法操作keychain,需要写的代码较为复杂,为减轻 咱们程序员的开发,我们可以使用一些已经封装好了的工具类,下面我会简单介绍下我用过的两个工具类:KeychainItemWrapper和 SFHFKeychainUtils。

自定义一个keychain的类

  • CSKeyChain.h
@interface CSKeyChain : NSObject

+ (NSMutableDictionary *)getKeychainQuery:(NSString *)service;

+ (void)save:(NSString *)service data:(id)data;

+ (id)load:(NSString *)service;

+ (void)delete:(NSString *)service;

@end
  • CSKeyChain.m
#import "CSKeyChain.h"
#import<Security>

@implementation CSKeyChain

+ (NSMutableDictionary *)getKeychainQuery:(NSString *)service {
    return [NSMutableDictionary dictionaryWithObjectsAndKeys:
            (__bridge_transfer id)kSecClassGenericPassword,(__bridge_transfer id)kSecClass,
            service, (__bridge_transfer id)kSecAttrService,
            service, (__bridge_transfer id)kSecAttrAccount,
            (__bridge_transfer id)kSecAttrAccessibleAfterFirstUnlock,(__bridge_transfer id)kSecAttrAccessible,
            nil];
}

+ (void)save:(NSString *)service data:(id)data {
    // 获得搜索字典
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    // 添加新的删除旧的
    SecItemDelete((__bridge_retained CFDictionaryRef)keychainQuery);
    // 添加新的对象到字符串
    [keychainQuery setObject:[NSKeyedArchiver archivedDataWithRootObject:data] forKey:(__bridge_transfer id)kSecValueData];
    // 查询钥匙串
    SecItemAdd((__bridge_retained CFDictionaryRef)keychainQuery, NULL);
}

+ (id)load:(NSString *)service {
    id ret = nil;
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    // 配置搜索设置
    [keychainQuery setObject:(id)kCFBooleanTrue forKey:(__bridge_transfer id)kSecReturnData];
    [keychainQuery setObject:(__bridge_transfer id)kSecMatchLimitOne forKey:(__bridge_transfer id)kSecMatchLimit];
    
    CFDataRef keyData = NULL;
    
    if (SecItemCopyMatching((__bridge_retained CFDictionaryRef)keychainQuery, (CFTypeRef *)&keyData) == noErr) {
        @try {
            ret = [NSKeyedUnarchiver unarchiveObjectWithData:(__bridge_transfer NSData *)keyData];
        } @catch (NSException *e) {
            NSLog(@"Unarchive of %@ failed: %@", service, e);
        } @finally {
        }
    }
    
    return ret;
}

+ (void)delete:(NSString *)service {
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    SecItemDelete((__bridge_retained CFDictionaryRef)keychainQuery);
}

@end
  • 在别的类实现存储,加载,删除敏感信息方法
// 用来标识这个钥匙串
static NSString * const KEY_IN_KEYCHAIN = @"com.cs.app.allinfo";
// 用来标识密码
static NSString * const KEY_PASSWORD = @"com.cs.app.password";

+ (void)savePassWord:(NSString *)password {
    NSMutableDictionary *passwordDict = [NSMutableDictionary dictionary];
    [passwordDict setObject:password forKey:KEY_PASSWORD];
    [CSKeyChain save:KEY_IN_KEYCHAIN data:passwordDict];
}

+ (id)readPassWord {
    NSMutableDictionary *passwordDict = (NSMutableDictionary *)[CSKeyChain load:KEY_IN_KEYCHAIN];
    return [passwordDict objectForKey:KEY_PASSWORD];
}

+ (void)deletePassWord {
    [CSKeyChain delete:KEY_IN_KEYCHAIN];
}

原文更多:iOS面试题大全

D_猿员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[车联网安全自学篇] Android安全之本地存储敏感信息挖掘「一」
橙留香Park的博客
08-15 386
在日常生活当中保护身份验证令牌、私人信息和其它敏感数据都是移动安全的关键,尤其是公共数据应该是对所有人可用,但敏感数据和私有数据必须加密保护,或者存储在设备存储之外,可以简单的理解为敏感数据含义是取决于APP处理敏感数据的方式。......
全局字符串转换局部变量存储防止暴露敏感字符串
06-12
输入要转换的全局字符串,例如:C:\\file\\我的文件.txt,输出: //C:\\file\\我的文件.txt #ifdef _UNICODE TCHAR szC:\\file\\我的文件.txt[] = { 'C', ':', '\\', 'f', 'i', 'l', 'e', '\\', 0x6211, 0x7684, 0x6587, 0x4EF6, '.', 't', 'x', 't', '\0' }; #else CHAR szC:\\file\\我的文件.txt[] = { 'C', ':', '\\', 'f', 'i', 'l', 'e', '\\', 0xCE, 0xD2, 0xB5, 0xC4, 0xCE, 0xC4, 0xBC, 0xFE, '.', 't', 'x', 't', '\0' }; #endif 如果字符串不包含中文,例如:file not found,输出 //file not found TCHAR szfile not found[] = { 'f', 'i', 'l', 'e', ' ', 'n', 'o', 't', ' ', 'f', 'o', 'u', 'n', 'd', '\0' }; 以上结果把变量名稍作修改即可使用
检测Android本地存储是否有敏感信息
weixin_30674525的博客
03-07 667
目录 Android本地存储数据的地方 如何读取 内存 SQLite Shared Preferences 内部存储 外部存储(SDcard) 其它 程序检测 Android本地存储数据...
【Java】设计一个支持敏感数据存储和传输安全的加解密平台
最新发布
JAVA_aik的博客
06-03 876
在一个应用系统运行过程中,需要记录、传输很多数据,这些数据有的是非常敏感的,比如用户姓名、手机号码、密码、甚至信用卡号等等。这些数据如果直接存储在数据库,记录在日志中,或者在公网上传输的话,一旦发生数据泄露,不但可能产生重大的经济损失,还可能使公司陷入重大的公关与法律危机。公司上下辛苦十几年,一夜回到解放前。所以,敏感信息必须进行加密处理,也就是把敏感数据以密文的形式存储、传输。这样即使被黑客攻击,发生数据泄露,被窃取的数据也是密文,获取数据的人无法得到真实的明文内容,敏感数据依然被保护着。
Cookie、Session、Token、JWT详解
weixin_38961318的博客
09-18 924
Cookie、Session、Token、JWT详解
token和axios拦截器
husai20的博客
11-20 1133
1.为什么要有token?2.token是什么3.token应用场景 axios拦截器使用 使用axios拦截器处理token与401
asp版实现微信登录授权并获取用户昵称、性别、头像、来自等信息
09-03
在ASP(Active Server Pages)开发环境中,实现微信登录授权并获取用户的基本信息,如昵称、性别、头像和来源地,是常见的功能需求。微信提供了开放平台接口,允许开发者集成微信登录,以提升用户体验和增强用户数据...
Spring Boot项目之用户登陆-利用用户令牌Token的方式实现
10-18
它是一个字符串,包含了用户的标识信息,比如用户名或用户ID,以及一些额外的安全信息,如过期时间或权限。使用Token的主要优点是它可以避免在HTTP请求中频繁地发送用户名和密码,提高安全性。 Spring Boot结合...
微信小程序获取用户信息和自定义token两种方法
08-12
在微信小程序开发中,获取用户信息和自定义token是常见的操作,这涉及到用户授权、安全性以及前后端交互等核心知识点。下面将详细讲解这两种方法及其应用场景。 首先,微信小程序提供了获取用户基本信息的功能,...
APP 登录token
08-15
本文将深入讲解APP登录过程中token的生成、存储与使用,以及涉及的技术栈如MySQL、Redis和SSM。 1. **Token的生成**: - 通常,APP登录后,服务器根据用户的账号信息生成一个唯一的、随机的token。这个过程可能...
QQ快捷登录 QQ互联OAuth2.0 获取QQ用户信息头像
11-14
7. **存储用户信息**:为了方便后续的登录验证,你需要将获取到的用户信息(通常包括OpenID,这是QQ用户的唯一标识)存储在你的数据库中。 在实际开发过程中,需要注意以下几点: - **安全性**:确保在传输敏感...
如何使用token保存用户登录信息
微信公众号:一颗向上的草莓
07-31 1万+
1.登录成功后生产token 登录成功之后,后台生成一个token,将token保存在redis中,key是token,value是用户id,并且把token响应给前端,前端每次请求时都把token传给后台进行鉴权。生成token代码如下: private String logining(String account,Long userId){ String token =...
在日常开发中,敏感数据应该如何保存或传输
魑魅魍魉
09-07 3224
说到敏感信息,第一个想到的恐怕就是用户密码了吧。攻击者一旦获取到了用户密码,就登录用户的账号进行一系列操作。甚至有些用户还习惯不管什么应用都用同一个密码,导致攻击者可以登录用户全网账号。
关于token的创建、存储以及认证
weixin_38707040的博客
08-13 1466
http请求是种无状态的请求,每一个http请求之前都没有关联,而在日常中,我们常常需要访问一些受限的页面,比如,登陆网易云之后,访问自己收藏的歌单,或者干别的事,每次都带了个http请求,之前说了http是无状态的,就是说服务器只有一次性的记忆,之前登陆成功,但你发起下一次请求时,服务器可不记得你是否完成了认证,这时候就需要有一种机制,在每次访问时,告诉服务器,xxx已经完成了认...
服务器判断客户端的用户名和密码(token的身份验证)
热门推荐
wangkeke1996的博客
08-16 1万+
 HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下,解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次...
使用token方法保存用户登录状态的实践
qq_41564928的博客
03-05 4385
问题:网站中,如何保存用户登录状态? 错误示范 用户登录后,使用 localStorage 方法在浏览器客户端直接保存 user_id,每次进入网站时,通过识别 user_id 自动获取用户信息并实现登录。 错误点 浏览器 localStorage 保存的数据可能被——篡改 在浏览器控制台使用 localStorage.setItem() 即可更改当前 user_id,如果 user_id 被...
什么是token token用在哪 token放在哪比较好
SSS01233210的博客
01-03 1万+
1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token 2. token用在用户登录城后之后返回给客户端, 3. token主要存储有: 3.1 存储在localStorage、sessionStorage中,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里) 优点:可以跨域 缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js
token的基本内容
qq_39039128的博客
10-16 5345
1、token 的全称是json web token。 2、在http中,进行身份认证。 3、http通信是无状态的,客户端的请求到了服务端,服务端的答复无法对原来的客户端进行识别 4、传统使用session机制:客户端登录成功后,服务端返回一个sessionid给客户端,客户端将此保存在cookie中。需要再次发送请求时,携带cookie中的sessionid到服务端,服务端缓存了session...
如何保证JWT token 的安全性和用户登录状态的保存
03-29
JWT (JSON Web Token) 是一种常用的用于在后端 API 与客户端之间传递身份验证信息的方式。为了保证 JWT 的安全性,你可以采用以下几种方法: 1. 使用 HTTPS:JWT 在客户端和服务端之间通过 HTTP 协议传输,所以为了防止中间人攻击,你应该使用 HTTPS 保护 JWT 的传输过程。 2. 使用长期有效的 JWT:JWT 可以指定一个有效期,在这段时间内 JWT 仍然有效。为了防止 JWT 被暴力破解,你应该尽量设置 JWT 的有效期较长,比如几个月或者几年。 3. 在 JWT 中存储有限的信息:JWT 可以存储一些有限的信息,比如用户 ID。为了防止 JWT 中存储敏感信息被泄露,你应该尽量在 JWT 中只存储有限的信息。 4. 使用加盐哈希加密算法:JWT 中的签名部分是为了验证 JWT 的完整性和真实性的。为了防止 JWT 被篡改,你应该使用加盐哈希加密算法,比如 HMAC-SHA256 或者 PBKDF2。 5. 在服务端保存 JWT 的黑名单:当用户退出登录或者 JWT 过期时,你可以将 JWT 加入黑名单,防止 JWT 被再

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值