IOS应用程序的安全代码

Question

目前我们正在为我们公司开发跟踪跟踪应用程序。为了使这个应用程序更安全，我们希望在首次启动时询问用户的安全代码。这个安全码很可能是客户号码。

用户发送一个请求到服务器，用他的跟踪和跟踪代码服务器将检查安全代码和跟踪代码是否链接。

我的问题是将安全代码存储在应用程序中的最佳方式是什么，以便应用程序可以向其请求一个跟踪并将跟踪发送到服务器。我们希望用户只在第一次启动时输入安全代码。

[[NSUserDefaults standardUserDefaults] boolForKey:@"security code"]; 

这会是一个选项吗？

Answer 1

对于任何希望存储在设备上的安全数据，我强烈建议您使用钥匙串。然后您可以检查密钥链中的代码是否存在，如果可用则使用该密码。

请参阅下面的文档，让你的钥匙扣在你的脚上！

钥匙扣概念https://developer.apple.com/library/ios/#documentation/security/Conceptual/keychainServConcepts/02concepts/concepts.html#//apple_ref/doc/uid/TP30000897-CH204-TP9

如何实现在iOShttps://developer.apple.com/library/ios/#documentation/security/Conceptual/keychainServConcepts/iPhoneTasks/iPhoneTasks.html

参考https://developer.apple.com/library/ios/#documentation/security/Reference/keychainservices/Reference/reference.html#//apple_ref/doc/uid/TP30000898

示例项目https://developer.apple.com/library/ios/#samplecode/GenericKeychain/Introduction/Intro.html#//apple_ref/doc/uid/DTS40007797

Answer 2

user1805901> This security code will most likely be the customer number.

这有多可猜？如果发生损失，您可能需要查看UUID。在服务器上提供从UUID到客户编号的映射。

WDUK> For any secure data you wish to store on the device, I strongly advise you use the Keychain.

除了钥匙扣，你也得看kSecAttrAccessibleWhenUnlocked，kSecAttrAccessibleAfterFirstUnlock，kSecAttrAccessibleAlways，kSecAttrAccessibleWhenUnlockedThisDeviceOnly，kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly和kSecAttrAccessibleAlwaysThisDeviceOnly。

kSecAttrAccessibleAlways和kSecAttrAccessibleAlwaysThisDeviceOnly属于毒药，不应使用，因为钥匙串可能泄漏数据。有关详细信息，请参阅iOS Keychain Weaknesses（它变得更好，但仍然可能成为问题）。

*ThisDeviceOnly表示秘密不包含在对其他设备的恢复中。它对一些复制/粘贴攻击很有帮助。

如果你不想在云上的秘密，我相信钥匙串属性需要包括com.apple.MobileBackup。详情请参阅Technical Q&A QA1719。

杰夫