Ich authentifiziere mit Schwammycastle PKCS10CertificationRequest CSR an eine RESTful Certificate Authority. Ich überlege, Android Authenticator zu verwenden.Android-Authentifikator SPEICHERN EIN CRYPTOGRAPHICAL SECURE TOKEN
Nach: https://stuff.mit.edu/afs/sipb/project/android/docs/training/id-auth/custom_auth.html#Security
Es ist wichtig zu verstehen, dass Accountmanager ist keine Verschlüsselung Service oder ein Schlüsselbund. Es speichert Kontoanmeldeinformationen, so wie Sie sie im Klartext übergeben. Bei den meisten Geräten ist dies kein besonderes Problem, , weil es sie in einer Datenbank speichert, die nur für root zugänglich ist. Aber auf einem gerooteten Gerät, die Anmeldeinformationen würden von jedem mit adb Zugriff auf das Gerät gelesen werden.
In diesem Sinne sollten Sie das tatsächliche Kennwort des Benutzers nicht an AccountManager.addAccountExplicitely() übergeben. Stattdessen sollten Sie A CRYPTOGRAPHICAL SECURE TOKEN aufbewahren, die für einen Angreifer von von begrenztem Nutzen wäre.
Meine Fragen: Ich bin mir nicht sicher, was von STORE Ein kryptografisch sicheren TOKEN in diesem Zusammenhang gemeint ist. Wie sieht dieses Token (sein Typ?) In Android Java aus? Und wo es zu speichern? im KeyChain ?? Wird dieses Token in einem anderen Kontext als dem Pw in addAccountExplicitly() verwendet?