Keychain简单理解和使用

app里的登录模块就是保存登录过用户名和密码，如果用户选择记住密码则保存最长保存7天，这样用户下次登录app的时候，就可以直接登录了，或者输入已经登录过的帐号时，自动填充密码。之前由于时间赶，用的NSUserDefaults 进行保存的用户名，密码，时间明文保存的，估计这个让老板知道会打死我，其实自己想想也觉得后背发凉。今天刚好有时间发现Keychain正好可以满足这个需求。

Keychain是一块相对独立的空间，当app升级时，已保存在Keychain里的信息不会被删除掉。Keychain的数据即使被别人拿到也由于是加密的，无法看到Keychain里的数据。因此比较适合用来存储用户的一些机密信息。

Keychain里主要方法有四个：

1. OSStatus SecItemAdd(CFDictionaryRef attributes, CFTypeRef *result)

2. OSStatus SecItemCopyMatching(CFDictionaryRef query, CFTypeRef *result)

3. OSStatus SecItemUpdate(CFDictionaryRef query, CFDictionaryRef attributesToUpdate)

4. OSStatus SecItemDelete(CFDictionaryRef query)

SecItemAdd表示往Keychain 里增加一条数据，第一个参数表示数据，第二个参数表示执行该操作后，指向刚添加的这个数据的引用，如果不需要用到这条数据，可以传入NULL（翻译自apple文档）。

SecItemCopyMatching表示查询Keychain里是否有符号条件的记录。第一个参数查询条件，第二个查询到结果的引用。

SecItemUpdate更新Keychain里的记录。第一个参数表示查询条件，第二个表示当根据第一个查询条件后，用于更新的值。

SecItemDelete删除符号查询条件的记录。参数表示查询条件

总结就是增，查，改，删。

结合代码说明怎么用比较好（实现代码模仿网上的一个做法）。

QPKeychain.h

@interface QPKeychain :NSObject

+ (void)save:(NSString*)key data:(id)data;

+ (id)load:(NSString*)key;

+ (void)remove:(NSString*)key;

@end

QPKeychain.m文件

#import "QPKeychain.h"

#import@implementation QPKeychain

+ (NSMutableDictionary *)getKeychainQuery:(NSString *)key {

return [NSMutableDictionary dictionaryWithObjectsAndKeys:(__bridge id)kSecClassGenericPassword, (__bridge id)kSecClass,

key, (__bridge id)kSecAttrService, key, (__bridge id)kSecAttrAccount, (__bridge id)kSecAttrAccessibleAfterFirstUnlock,(__bridge id)kSecAttrAccessible, nil];

}

+ (void)save:(NSString *)key data:(id)data {

NSMutableDictionary *keychainQuery = [self getKeychainQuery:key];

SecItemDelete((__bridge CFDictionaryRef)keychainQuery);

[keychainQuery setObject:[NSKeyedArchiver archivedDataWithRootObject:data] forKey:(__bridge id)kSecValueData];

SecItemAdd((__bridge CFDictionaryRef)keychainQuery, NULL);

}

+ (id)load:(NSString *)key {

id ret = nil;

NSMutableDictionary *keychainQuery = [self getKeychainQuery:key];

[keychainQuery setObject:(id)kCFBooleanTrue forKey:(__bridge id)kSecReturnData];

[keychainQuery setObject:(__bridge id)kSecMatchLimitOne forKey:(__bridge id)kSecMatchLimit];

CFDataRef keyData = NULL;

if (SecItemCopyMatching((__bridge CFDictionaryRef)keychainQuery, (CFTypeRef *)&keyData) == noErr) {

@try {

ret = [NSKeyedUnarchiver unarchiveObjectWithData:(__bridge NSData *)keyData];

} @catch (NSException *e) {

//            NSLog(@"Unarchive of %@ failed: %@", key, e);

} @finally {

}

}

if (keyData) {

CFRelease(keyData);

}

return ret;

}

+ (void)remove:(NSString *)key {

NSMutableDictionary *keychainQuery = [self getKeychainQuery:key];

SecItemDelete((__bridge CFDictionaryRef)keychainQuery);

}

@end

实际上就是3个功能，保存，读取，删除keychain。

• (NSMutableDictionary)getKeychainQuery:(NSString)key方法生成一个字典，该字典包含了一条keychain item的设置。kSecClass 表示该条item是什么类型的，kSecClassGenericPassword表示一般密码类型的item（还有几个其他类型的，猜测这些类型会采用不同的加密级别）。kSecAttrService用于描述该item的service属性（具体用于干什么，还不太清楚）。kSecAttrAccount指定item的account name。kSecAttrAccessible顾名思义就是设置item的属性访问方式的，kSecAttrAccessibleAfterFirstUnlock表示只要设备一旦设备启动解锁后就可以一直访问。

• (void)save:(NSString*)key data:(id)data方法将键值key，数据data存放如item中。先将keychain里的account name为key的删除掉，然后再插入（这2步等价于SecItemUpdate）

• (id)load:(NSString*)key方法查找account name 为key的item，然后将查到的item返回。其中用到了SecItemCopyMatching函数。

• (void)remove:(NSString*)key方法将account name 的item删除掉。

这样对于那个保存用户名，密码的功能就可以很简单的实现了。将用户名，密码，有效的登录时间存入一个字典里，然后以用户名为account name，字典为data存入到keychain中。子UITextField的valueDidChanged,textFieldShouldReturn回调中以用户当前的输入去获取密码来填充密码输入框，代码如下：

+ (void)fillPasswordTFWithUserNameTF:(UITextField *)userNameTF withPasswordTF:(UITextField *)passwordTF {

NSString *account = userNameTF.text;

NSMutableDictionary *userInfos = [QPKeychain load:account];//获取keychain里的用户，密码等信息

if (userInfos == nil) {

passwordTF.text = @"";

} else {

double now = [[[NSDate alloc] init] timeIntervalSince1970];

double time = [[userInfos objectForKey:LOGIN_USER_DATE] doubleValue];

if ((now - time) / (24 * 3600) < 7) {//7天有效

NSString *password = [userInfos objectForKey:LOGIN_USER_PASSWORD];

passwordTF.text = password;

} else {

passwordTF.text = @"";

}

}

}

由于水平有限，也没时间去深入研究keychain的具体实现，只能点到为止了。