6.4 在设备上安全地存储认证信息

Keychain : 在设备上安全存储少量数据的机制, 比如密码、密钥、证书和身份信息等

Keychain 并不适合于通用目的的加密和数据存储, 而是用来存储需要保护的信息, 比如密码与私钥就会以加密的形式存储起来. 诸如证书(不需要这种级别的保护)等就不会加密存储

iOS 中, 每个应用都可以访问它所创建的 Keychain 条目而无须请求许可
传统的 Mac 开发, 可以访问用户同意的任何 Keychain 条目

从技术上来说, Keychain 数据存储在应用沙箱之外, 这样就可以通过应用委托事件来持久化数据了. iOS Keychain 的权限依赖于用于签名应用的配置文件. 当应用在其版本的生命周期中不断演进时, 你需要一直使用相同的配置文件

应用的 Keychain 可以包含任意数量的条目, 每个条目都包含待存储的数据及属性. 每个 Keychain 条目的属性都依赖于在存储过程中选择的条目类. 条目类之间存在很多通用的条目属性.

表 6-3 可编辑的 Keychain 条目属性

在创建过程中, 有两个重要的属性需要注意(对于所有类都是一样的), 它们是 kSecAttrAccessible 与 kSecAttrAccessGroup. 可以通过 kSecAttrAccessible 判断应用何时能够访问 Keychain 条目. 你应用使用让应用能够满足其目的的最严格的选项. 表 6-4 列出了 kSecAttrAccessible 属性的所有可能值. 最低限度上, 你应用考虑将 kSecAttrAccessible 设为以 ThisDeviceOnly 结尾的值, 这样就限制 Keychain 条目不能传给新的设备. kSecAttrAccessGroup 表示 Keychain 条目属于哪个访问组. 应用可以属于多个访问组, 你在第 11 章定义的 Entitlements.plist 文件中将会看到这一点. 多个访问组可以进一步划分 Keychain 数据. 访问组还可以用于在应用间共享数据. 第 11 章的示例将会详细介绍这一点, 包括 Entitlements.plist 文件

表 6-4 kSecAttrAccessible 属性的可能值

Generic Password 类是安全存储非 Internet 密码的理想位置, 比如本章的服务层使用的认证令牌等. Generic Password 类也可以用于存储检测应用之前是否安装过的指示器

在 Keychain 中创建条目时, 最佳实践是首先判断条目是否已经存在, 然后根据结果进行添加或更新. 其余动作(检索、更新与删除)都接收一个查询参数, 它是 CFDictionaryRef 的一个实例. 动作会在与查询匹配的每个 Keychain 条目上执行. 查询参数可以是任意数量的条目属性(表 6-3 中介绍的属性的一个子集)与表 6-5 中定义的搜索属性的组合

表 6-5 预定义的 Keychain 搜索属性

第 11 章介绍如何将 Keychain 集成到应用中, 包括如何在多个应用间共享数据