Il mio server mi sta inviando l'accesso e un token di aggiornamento durante l'accesso. Devo memorizzarli nelle preferenze condivise di Android crittografandoli? Voglio conoscere la best practice per l'archiviazione di questi token poiché la memorizzazione direttamente nelle preferenze è facilmente sfruttabile.
Android supporta il bellissimo concetto di Sandbox dell'applicazione , in modo che tutte le applicazioni vengano eseguite come un utente unico e nella propria sandbox. L'archiviazione locale dei dati in un dispositivo non rootato per applicazioni non debugabili non è normalmente accessibile. Tuttavia, se il dispositivo è rootato, il concetto di sandbox dell'applicazione viene compresso e l'applicazione installata può essere eseguita come utente "root" e può quindi accedere ai dati memorizzati da qualsiasi altra applicazione nella loro directory privata (/ data / data / package- nome)
L'archiviazione del token come testo normale nell'archivio dati locale (SharedPreferences) non è un'opzione sicura poiché è possibile accedere facilmente a un dispositivo non rooted. Si consiglia di crittografare il token utilizzando l'algoritmo di crittografia sicura e l'implementazione sicura nell'archivio dati locale.
Leggi altre domande sui tag authentication oauth android