android - oauth2的access_token和refresh_token 在客户端中存储在哪里比较合适？

Question

项目需要通过oauth2登录，拿到返回的两个token后，琢磨存储在哪里合适？Android端。

1. 可以存储在SP当中？感觉是不是有点不安全

2. 存储在数据库里？用的是ormlite框架，就为这个得建个表？有没有更好的方式？？？

Answer 1

Jika anda fikir ia tidak selamat untuk menggunakan SP untuk menyimpan, maka ia juga tidak selamat untuk menggunakan inventori data Semua data ini berada dalam direktori storan terbina dalam /data/data/包名/.

Anda boleh mempertimbangkan untuk menyulitkan token secara setempat dan kemudian meneruskannya, supaya selepas orang lain mendapat token, mereka perlu mengkaji kod anda untuk mendapatkan token yang betul. Jika anda menuntut keselamatan, kod sumber anda masih akan didedahkan dan anda perlu mempertimbangkan isu pengukuhan kod sumber.

Tidak kira bagaimana anda melakukannya, tiada keselamatan mutlak, betul, jadi saya cadangkan: melakukan beberapa operasi penyulitan pada token secara setempat, dan kemudian menggunakan SP untuk kegigihan sudah memadai.