创建“始终登录”IOS应用程序的最安全方法是什么？

Question

我正在编写代码，其中用户使用电子邮件+密码注册帐户。我希望将登录凭证存储在IOS应用程序中，然后用于用户进行的所有远程操作（创建订单，更新帐户信息等）。

使用PDKeychainBindings将密码存储在IOS密钥链中是否安全，然后通过HTTPS将每个请求的用户/密码发送给服务器？

有更好/更安全的方法吗？

Answer 1

最安全的方式是不保存密码。通常，首次连接时，您将使用用户名&密码作为永久授权令牌。

然后，您将此令牌保存到钥匙串中，并且所有其他服务器请求仅由令牌授权。只有当令牌无效时，才要求用户再次输入密码。 （它是永久的，所以它不应该过期，但它可以被服务器无效）。

Answer 2

有两种方法：

1）可以使用钥匙链：http://developer.apple.com/library/ios/#documentation/Security/Conceptual/keychainServConcepts/iPhoneTasks/iPhoneTasks.html

实施例：

//Initializing 
KeychainItemWrapper *keychainItem = [[KeychainItemWrapper alloc] initWithIdentifier:@"YourAppLogin" accessGroup:nil]; 
//Saving 
[keychainItem setObject:@"password you are saving" forKey:kSecValueData]; 
[keychainItem setObject:@"username you are saving" forKey:kSecAttrAccount]; 
//Getting 
NSString *password = [keychainItem objectForKey:kSecValueData]; 
NSString *username = [keychainItem objectForKey:kSecAttrAccount]; 
//deleting 
[keychainItem resetKeychainItem]; 

2）可以使用NSUserDefaults的

NSUserDefaults *prefs = [NSUserDefaults standardUserDefaults]; 
NSString *pword = [prefs setObject:@"yourpassword" ForKey:@"password"]; 
NSString *username = [prefs setObject:@"username" ForKey:@"username"]; 
[prefs synchronize]; 
//getting 
NSUserDefaults *prefs = [NSUserDefaults standardUserDefaults]; 
NSString *pword = [prefs objectForKey:@"password"]; 
NSString *username = [prefs objectForKey:@"username"]; 

方法1是比方法2更安全。通过加密你的pas文件，你可以使方法2更安全剑和用户名。

希望这有助于..