iOS keyChain 研究

最新推荐文章于 2024-01-17 02:27:09 发布
最新推荐文章于 2024-01-17 02:27:09 发布
阅读量429 收藏
点赞数
分类专栏: 一天一读 基础知识点 文章标签: ios keychain
原文链接:https://www.jianshu.com/p/b7b2edf73e31
版权

http://blog.csdn.net/jerryvon/article/details/16843065

一.基本知识
1.方法
SecItemAdd 增
SecItemUpdate 改
SecItemDelete 删
SecItemCopyMatching 查

2.权限
文档上说iOS的keyChain是一个相对独立的空间,当程序替换,删除时并不会删除keyChain的内容,这个要比Library/Cache好。刷机,恢复出厂应该就没有了。关于备份,只会备份数据,到那时不会备份设备的密钥,换句话说,即使拿到数据,也没有办法解密里面的内容。有人说似乎破解的手机就能破解keyChain,本人并不清楚,希望有大神能指教。但个人认为,keyChain只是沙盒的升级版,可以存放一些非私密的信息,即使破解也不影响其它用户,只影响那个破解了的设备。(比如针对该设备的一个密钥)。

可访问性一般来说,自己的程序只能访问自己的keychain,相同bundle的程序通过设置group可以互相共享同组的keychain,从而实现程序间可以共同访问一些数据。详细后面介绍一些我测试下来的经验。

3.如何查询keyChain

[objc] view plain copy

print?
genericPasswordQuery = [[NSMutableDictionary alloc] init];
[genericPasswordQuery setObject:(id)kSecClassGenericPassword forKey:(id)kSecClass];//1
[genericPasswordQuery setObject:identifier forKey:(id)kSecAttrGeneric];//2
******if** (accessGroup !=** nil){
[genericPasswordQuery setObject:accessGroup forKey:(id)kSecAttrAccessGroup];//3
}
[genericPasswordQuery setObject:(id)kSecMatchLimitOne forKey:(id)kSecMatchLimit];//4
[genericPasswordQuery setObject:(id)kCFBooleanTrue forKey:(id)kSecReturnAttributes];//5
******NSDictionary tempQuery = [NSDictionary dictionaryWithDictionary:genericPasswordQuery];
******NSMutableDictionary* outDictionary =* nil;
******if (SecItemCopyMatching((CFDictionaryRef)tempQuery, (CFTypeRef )&outDictionary) == noErr){//6
//found and outDicitionary is not nil
}else*{
//not found
}

1.设置Class值,每个Class对应的都有不同的参数类型

2.用户确定的参数,一般是程序中使用的类别,比如说是"Password"或"Account Info",作为search的主力条件
3.设置Group,如果不同程序都拥有这个组,那么不同程序间可以共享这个组的数据
4.只返回第一个匹配数据,查询方法使用,还有值kSecMatchLimitAll
5.返回数据为CFDicitionaryRef,查询方法使用
6.执行查询方法,判断返回值
eg:这个是none-ARC的代码哦!ARC情况下会有bridge提示。

4.类型转换
介绍增删改方法调用前,先介绍转换方法,如何将NSDictionary转换成KeyChain方法可以设置的Dicitionary,一般在写程序过程中,应该尽量避免直接访问KeyChain,一般会创建一个NSDictionary来同步对应的数据,所以两者需要做转换。

[objc] view plain copy

print?
//data to secItem

  • (NSMutableDictionary )dictionaryToSecItemFormat:(NSDictionary* *)dictionaryToConvert
    {
    // Create a dictionary to return populated with the attributes and data.
    NSMutableDictionary *returnDictionary = [NSMutableDictionary dictionaryWithDictionary:dictionaryToConvert];

    //设置kSecClass
    [returnDictionary setObject:(id)kSecClassGenericPassword forKey:(id)kSecClass];
    //将Dictionary里的kSecValueData(一般就是这个keyChain里主要内容,比如说是password),NSString转换成NSData
    NSString passwordString = [dictionaryToConvert objectForKey:(id)kSecValueData];
    [returnDictionary setObject:[passwordString dataUsingEncoding:NSUTF8StringEncoding] forKey:(    id*)kSecValueData];
    return returnDictionary;
    }
    //secItem to data

  • (NSMutableDictionary )secItemFormatToDictionary:(NSDictionary* *)dictionaryToConvert
    {
    NSMutableDictionary *returnDictionary = [NSMutableDictionary dictionaryWithDictionary:dictionaryToConvert];

    // Add the proper search key and class attribute.
    [returnDictionary setObject:(id)kCFBooleanTrue forKey:(id)kSecReturnData];
    [returnDictionary setObject:(id)kSecClassGenericPassword forKey:(id)kSecClass];

    // Acquire the password data from the attributes.
    NSData passwordData = NULL;
    if (SecItemCopyMatching((CFDictionaryRef)returnDictionary, (    CFTypeRef* )&passwordData) == noErr)
    {
    // 删除多余的kSecReturnData数据
    [returnDictionary removeObjectForKey:(    id*)kSecReturnData];

      // 对应前面的步骤,将数据从NSData转成NSString  
  **NSString** *password = [[[NSString alloc] initWithBytes:[passwordData bytes] length:[passwordData length]  
                                               encoding:NSUTF8StringEncoding] autorelease];  
  [returnDictionary setObject:password forKey:(**id**)kSecValueData];

    }
    else
    {
    NSAssert(NO, @"Serious error, no matching item found in the keychain.\n");
    }
    [passwordData release];
    return returnDictionary;
    }

5.增删改
用代码来说明

[objc] view plain copy

print?

  • (void)writeToKeychain
    {
    NSDictionary attributes = NULL;
    NSMutableDictionary updateItem = NULL;
    OSStatus result;
    //判断是增还是改
    if (SecItemCopyMatching((CFDictionaryRef)genericPasswordQuery, (    CFTypeRef** )&attributes) == noErr)
    {
    // First we need the attributes from the Keychain.
    updateItem = [NSMutableDictionary dictionaryWithDictionary:attributes];
    // Second we need to add the appropriate search key/values.
    [updateItem setObject:[genericPasswordQuery objectForKey:(    id)kSecClass] forKey:(id)kSecClass];
    // Lastly, we need to set up the updated attribute list being careful to remove the class.
    NSMutableDictionary tempCheck = [    self** dictionaryToSecItemFormat:keychainItemData];
    //删除kSecClass update不能update该字段,否则会报错
    [tempCheck removeObjectForKey:(id)kSecClass];
    //参数1表示search的,参数2表示需要更新后的值
    result = SecItemUpdate((CFDictionaryRef)updateItem, (CFDictionaryRef)tempCheck);
    }else{
    //增加
    result = SecItemAdd((CFDictionaryRef)[self dictionaryToSecItemFormat:keychainItemData], NULL);
    }
    }

删除很简单,就不写注释了
[objc] view plain copy

print?

  • (void)resetKeychainItem
    {
    OSStatus junk = noErr;
    if (!keychainItemData)
    {
    self.keychainItemData = [[NSMutableDictionary alloc] init];
    }
    else if (keychainItemData)
    {
    NSMutableDictionary tempDictionary = [self* dictionaryToSecItemFormat:keychainItemData];
    junk = SecItemDelete((CFDictionaryRef)tempDictionary);
    NSAssert( junk == noErr || junk == errSecItemNotFound, @"Problem deleting current dictionary." );
    }

    // Default attributes for keychain item.
    [keychainItemData setObject:@"" forKey:(id)kSecAttrAccount];
    [keychainItemData setObject:@"" forKey:(id)kSecAttrLabel];
    [keychainItemData setObject:@"" forKey:(id)kSecAttrDescription];

    // Default data for keychain item.
    [keychainItemData setObject:@"" forKey:(id)kSecValueData];
    }

二.Group的配置
配置Target的Code Signing Entitlements.

配置该文件

可以配置一个Array列表,表示该程序可以支持多个group
这样就可以在创建secItem时候添加kSecAttrAccessGroup了。
经过测试有以下经验同大家分享:
1.相同bundle下生成的程序都可以共享相同group的keyChain.
相同bundle解释下就是:比如:2个程序分别使用的provision对应bundle是com.jv.key1和com.jv.key2,那你配置文件肯定是{Identifer}.com.jv.{name},其中identifer是苹果生成的随机串号,可以在申请证书时看到,复制过来即可,name可以自己取,程序中指定属于哪个Group即可。
2.如果你在 addkey时,没有指定group,则会默认添加你keychain-access-groups里第一个group,如果你没有设置Entitlements,则默认使用对应的程序的bundle name,比如com.jv.key1,表示只能给自己程序使用。
3.如果你程序添加的group并不存在你的配置文件中,程序会奔溃,表示无法添加。因此你只能添加你配置文件中支持的keychain。

参考资料:
苹果文档:
Keychain Services Reference

Certificate, Key, and Trust Services Programming Guide
Keychain Services Programming Guide

马拉萨的春天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS KeyChain
12-02
对于一些私密信息,比如密码、证书等等,就需要使用更为安全的keychain了。keychain里保存的信息不会因App被删除而丢失,在用户重新安装App后依然有效,数据还在。
iOS Keychain(钥匙串)原理及使用
qq_37672438的博客
12-26 489
iOS Keychain(钥匙串)原理及使用
iOS安全】iOS Keychain简介
最新发布
Juruo@Security
01-17 271
iOS Keychain简介
iOS KeyChain 浅析以及应用(数据AES加密)附demo
u013712343的博客
09-23 1459
一.iOS钥匙串KeyChain 解析 根据苹果的介绍,iOS备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存Wi-Fi网络密码,VPN凭证等等。它是一个sqlite 数据库,位于/private/var/Keychains/keychain-2.db,其保存的所有数据都是加密过的。 Keychain可以实现用户信息自动登录和应用之间的数据共享,由于通过Keychain保存的信息是存在于每个应...
iOS开发-关于keychain存储和数据分享(keychain share)group的一些总结
热门推荐
u013096533的博客
05-16 1万+
iOS开发-关于keychain存储和数据分享(keychain share)group的一些总结 iOS开发中难免会接触keychainkeychain说到底其实就是钥匙串,mac操作经常会遇到的。登录某个网站时都会提示你要不要存储密码等操作,都是对钥匙串进行操作。 iOS开发中用到keychain主要用来保存一些比较私密的且无法保存到服务器的数据。 keychain是存在于系统级别的...
ios keychain 操作
02-04
ios 把信息保存到 keychain里头,app删除后,信息仍然在。方便保存唯一ID,密码等
iOS keychain类库
11-17
ios keychain KeychainItemWrapper
最新IOS KeyChain的封装
12-22
最新IOS KeyChain的封装,获取即可使用!已在真机上测试通过!
详解iOS开发中Keychain的相关使用
09-03
主要介绍了iOS开发中Keychain的相关使用,文中列举了一个使用Keychain来保存密码的例子,需要的朋友可以参考下
ios本地持久化存储之KeychainItemWrapper
ahaitongxue的专栏
05-08 2311
一.h文件 /* File: KeychainItemWrapper.h Abstract: Objective-C wrapper for accessing a single keychain item. Version: 1.2 Disclaimer: IMPORTANT: This Apple software is supplied to you by ...
IOS keychain 使用
书弋江山的博客
03-30 1988
最近项目赶得紧先打个Tag 参考文章
iOSkeychain详解(附有Demo)
agongcao9295的博客
08-08 418
iOS keychain是苹果用来保存用户私密数据的一个专业的SQLite数据库。保存的数据主要是一些轻量级的私密数据,比如用户密码,token(令牌)等,保存在这个数据库中的密码不会因为你卸载了app就不见了,只要你重新安装app。调用相关的服务、账户API就能得到app上次保存在数据库中的密码。这对于用户卸载app之后又重新安装但是却忘记了密码的情况很适用。 有一点很奇怪,经测试,...
ios设备唯一标识获取策略
为你超神
07-22 562
英文原文:In iOS 7 and later, if you ask for the MAC address of an iOS device, the system returns the value 02:00:00:00:00:00. If you need to identify the device, use the identifierForVendor property of
ARC下带CF前缀的类型与OC类型转换
weixin_33754065的博客
02-19 425
在对钥匙串操作时这个函数 OSStatus SecItemCopyMatching(CFDictionaryRef query, CFTypeRef * __nullable CF_RETURNS_RETAINED result) 经常用到,表示查询Keychain里是否有符合条件的记录。第一个参数查询条件,第二个查询到结果的引用。 在非ARC模式下的基本使用方法如下 NSData *...
Keychain Group Access
tenfyguo的技术专栏
06-09 5178
From:http://useyourloaf.com/blog/2010/04/03/keychain-group-access.html           Since iPhone OS 3.0 it has been possible to share data between a family of applications. This can provide a
iosKeyChain研究
jaybin的技术博客
02-27 8330
iOSkeyChain是一个相对独立的空间,当我们的程序(App)被替换或者删除时并不会删除保存在keyChain的内容。相对于NSUserDefaults、plist文件保存等一般方式,keychain保存更为安全。所以我们会用keyChain保存一些私密信息,比如密码、证书、设备唯一码(UDID)等等。        我们可以把KeyChain理解为一个Dictionary,所有数据都以k
keychain认证
01-10
Keychain认证是一种用于降低BGP协议被攻击的认证机制。它使用一组密码,并可以根据配置自动切换密码,从而增加了攻击者破解认证密码的难度。在配置BGP Peer设备时,可以通过以下步骤来配置Keychain认证: 1. 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值