重要的事情说三遍
使用keychain group的时候,测试一定要使用真机!
使用keychain group的时候,测试一定要使用真机!
使用keychain group的时候,测试一定要使用真机!
14年的年底开始做iOS开发,一直在公司忙着加班赶项目,也没时间静下心来写一遍文章,最近公司不是很忙,就有一些业余时间可以研究一些技术!这篇就主要来讲讲iOS存储机制中的keychain!有理解不到或者是理解不全的地方,希望各位同行们能够给予补充,谢谢!以下测试在ipone5s真机运行,系统10.3.2!
什么是Keychain?
根据苹果的介绍,iOS设备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存Wi-Fi网络密码,VPN凭证等等。它是一个在所有app之外的sqlite数据库。
如果我们手动把自己的私密信息加密,然后通过写文件保存在本地,再从本地取出不仅麻烦,而且私密信息也会随着App的删除而丢失。iOS的Keychain能完美的解决这些问题。并且从iOS 3.0开始,Keychain还支持跨程序分享。这样就极大的方便了用户。省去了很多要记忆密码的烦恼。
keychain的用途以及与userDefault的比较
NSUserDefaults
NSUserDefaults其实是plist文件中键值存储,并且最大的问题是存在与沙盒中,这就对安全性埋下了隐患。如果攻击者破解app,拿到了沙盒中的数据,就会造成数据泄漏,后果不堪设想。
当然,一般也不会有把密码直接使用NSUserDefaults存储的,都会进行加密、或者是多重加密后再进行NSUserDefaults存储。这么做其实是可行的,前提是加密算法不能泄漏。有个小问题就是,如果用户删掉app重装的话,之前所有存储的敏感信息都会消失。比如,一个用户误删了使用NSUserDefaults存储密码的app,当重新安装之后,由于以前是记住密码免登录,只因为自己操作不当,接下来要进入找回密码功能,重新修改密码才能再次使用app。这对用户来说是一种相当不友好的体验。
所以,正确的姿势是使用Keychain服务来存储。Keychain保存的数据不仅仅是加密过的,而且由于Keychain是存在与沙盒之外的,当应用删除之后,app存储的数据并没有被删掉,第二次安装时只要读取Keychain里的数据,即可得到以前存储的信息。
Keychain使用场景
存储隐私信息
在iOS系统中,最常用的keychain服务就是存储用户密码了。使用keychain保存用户密码最大的好处已经在上面说过,个人极力推荐这么做。
数据共享
如果我们有多个app,它们之间需要共享一些数据,以提供更好的用户体验,那么使用Keychain群组可以实现。但前提是同一个公司的产品才能共享,比如com.hyyy.test1和com.hyyy.test2两个同一公司下的不同产品之前可以实现数据共享。
设备唯一标示存储
在iOS中,为了在苹果的打压下获取唯一标示符,开发者们也是想尽了办法,目前最好的方式就是获取IDFV,并将其存储到keychain中。IDFV是设备区别应用提供商的,一般来说可以作为应用唯一标示符。但是IDFV缺陷就是当设备删除了该所有应用提供商的app之后,IDFV值会发生变化,所以IDFV+Keychain的组合目前被经常用到,来替代UDID的作用。特别是加上Keychain的共享服务,可以使应用提供商下的所有app下获取的IDFV都不会发生变化。这一服务可以说是目前最佳的识别用户的办法。
Structure of a Keychain
Keychain内部可以保存很多的信息。每条信息作为一个单独的keychain item,keychain item一般为一个字典,每条keychain item包含一条data和很多attributes。举个例子,一个用户账户就是一条item,用户名可以作为一个attribute , 密码就是data。 keychain虽然是可以保存15000条item,每条50个attributes,但是苹果工程师建议最好别放那么多,存几千条密码,几千字节没什么问题。
如果把keychain item的类型指定为需要保护的类型比如password或者private key,item的data会被加密并且保护起来,如果把类型指定为不需要保护的类型,比如certificates,item的data就不会被加密。
item可以指定为以下几种类型:
extern CFTypeRef kSecClassGenericPassword
extern CFTypeRef kSecClassInternetPassword
extern CFTypeRef kSecClassCertificate
extern CFTypeRef kSecClassKey
extern CFTypeRef kSecClassIdentityOSX_AVAILABLE_STARTING(MAC_10_7, __IPHONE_2_0);
Keychain的用法
首先导入Security.framework 。
Keychain的API提供以下几个函数来操作Keychain
SecItemAdd 添加一个keychain item
SecItemUpdate 修改一个keychain item
SecItemCopyMatching 搜索一个keychain item
SecItemDelete 删除一个keychain item
Keychain Access Group
Keychain通过provisioning profile来区分不同的应用,provisioning文件内含有应用的bundle id和添加的access groups。不同的应用是完全无法访问其他应用保存在Keychain的信息,除非指定了同样的access group。指定了同样的group名称后,不同的应用间就可以分享保存在Keychain内的信息。
Keychain Access Group的使用方法:
首先要在Capabilities下打开工程的Keychain Sharing按钮。然后需要分享Keychain的不同应用添 加相同的Group名称。Xcode6以后Group可以随便命名,不需要加AppIdentifierPrefix前缀,并且Xcode会在以entitlements结尾的文件内自动添加所有Group名称,然后在每一个Group前自动加上$(AppIdentifierPrefix)前缀。虽然文档内提到还需要添加一个包含group的.plist文件,其实它和.entitlements文件是同样的作用,所以不需要重复添加。 但是每个不同的应用第一条Group最好以自己的bundleID命名,因为如果entitlements文件内已经有Keychain Access Groups数组后item的Group属性默认就为数组内的第一条Group,其实keychaingroups的名字你可以随便起,(最好使用app的buddleid),在keychain groups里面加上你想要共享哪个group的数据,想共享几个就可以填写几个,前提是这些group必须的team必须相同,也就是(AppIdentifierPrefix)必须相同!
需要支持跨设备分享的Keychain item添加一条AccessGroup属性,不过代码里Group名称一定要加上AppIdentifierPrefix前缀。我在测试的时候使用的是SAMkeychain框架以下会附上测试源码;如果要在app内部存私有的信息,group置为自己的bundleID即可,如果entitlements文件内没有指定Keychain Access Groups数组。那group也可以置为nil,这样默认也会以自己的bundleID作为Group。(但是当我在10.3.2的系统做测试的时候,如果传入的group为nil或者是不传,这样默认认为自己的bundleid作为group,并且有AppIdentifierPrefix前缀!如果传入的group是没有包含在entitlements里面的时候,会报错,此时status 为-25300,不知道什么原因,上网查资料,在stackoverflow上有人说这可能是苹果方面的一个bug,具体问题,我也在继续探索中,如果有哪位大神知道原因,欢迎您的解答!)
(
这样设置group会导致存储数据失败,如果不想共享某个group的数据,建议group传入AppIdentifierPrefix+bundleiD!在其他app的keychain group中,只填入想要共享数据的group!例如上图中的MCUUId和MCaccount两个keychain group!在另一个app中加入同样的group,就能实现这两个group中的数据共享,切记代码中传入group的时候要加上appidentifier前缀,否则会存储失败!当传入的group不在entitlements文件内时,此时传入的group的值必须为AppIdentifierPrefix+bundleiD,否则会造成存储失败!查询时也可以指定group查询,但是必须使用真机测试
//// [query1 setAccessGroup:@"com.miaocaiwang.CircularScroll"];
(samkeychain的方法中涉及到的变量主要有三个,分别如这一小节的标题所示,是password、service、account。password、account分别保存的是密码和用户名信息。service保存的是服务的类型,就是用户名和密码是为什么应用保存的一个标志。比如一个用户可以再不同的论坛中使用相同的用户名和密码,那么service保存的信息分别标识不同的论坛。由于包名通常具有一定的唯一性,通常在程序中可以用包的名称来作为service的标识。)
SAMKeychainQuery *query1 = [[SAMKeychainQuery alloc] init];
// query1.service = @"MCUUIDceshiceshi_111";
// query1.account = @"MCUUIDceshi_111";
// query1.password = @"MCUUID123456dasdas";
// [query1 setAccessGroup:@"4K2U4QJKGX.com.miaocaiwang.CircularScroll"];
// [query1 save:nil];
//
//
// SAMKeychainQuery *query2 = [[SAMKeychainQuery alloc] init];
// query2.service = @"MCUUIDceshiceshi_222";
// query2.account = @"MCUUIDceshi_222";
// query2.password = @"MCUUID123456dasdas";
// [query2 setAccessGroup:@"4K2U4QJKGX.MCAccount"];
// [query2 save:nil];
//
//
// SAMKeychainQuery *query3 = [[SAMKeychainQuery alloc] init];
// query3.service = @"MCUUIDceshiceshi_333";
// query3.account = @"MCUUIDceshi_333";
// query3.password = @"MCUUID123456dasdas";
// [query3 setAccessGroup:@"4K2U4QJKGX.MCUUID"];
// [query3 save:nil];
以下为log信息
{
acct = "MCUUIDceshi_111";
agrp = "4K2U4QJKGX.com.miaocaiwang.CircularScroll";
cdat = "2017-06-08 03:32:50 +0000";
mdat = "2017-06-08 03:32:50 +0000";
musr = <>;
pdmn = ak;
svce = "MCUUIDceshiceshi_111";
sync = 0;
tomb = 0;
},
{
acct = "MCUUIDceshi_222";
agrp = "4K2U4QJKGX.MCAccount";
cdat = "2017-06-08 03:32:50 +0000";
mdat = "2017-06-08 03:32:50 +0000";
musr = <>;
pdmn = ak;
svce = "MCUUIDceshiceshi_222";
sync = 0;
tomb = 0;
},
{
acct = "MCUUIDceshi_333";
agrp = "4K2U4QJKGX.MCUUID";
cdat = "2017-06-08 03:32:50 +0000";
mdat = "2017-06-08 03:32:50 +0000";
musr = <>;
pdmn = ak;
svce = "MCUUIDceshiceshi_333";
sync = 0;
tomb = 0;
}
在另一个app中做以下代码处理获取keychaingroup数据
SAMKeychainQuery *query1 = [[SAMKeychainQuery alloc] init];
NSLog(@"%@ %@",[query1 fetchAll:nil],[query1 password]);
log信息如下
{
acct = "MCUUIDceshi_222";
agrp = "4K2U4QJKGX.MCAccount";
cdat = "2017-06-08 03:32:50 +0000";
mdat = "2017-06-08 03:32:50 +0000";
musr = <>;
pdmn = ak;
svce = "MCUUIDceshiceshi_222";
sync = 0;
tomb = 0;
},
{
acct = "MCUUIDceshi_333";
agrp = "4K2U4QJKGX.MCUUID";
cdat = "2017-06-08 03:32:50 +0000";
mdat = "2017-06-08 03:32:50 +0000";
musr = <>;
pdmn = ak;
svce = "MCUUIDceshiceshi_333";
sync = 0;
tomb = 0;
}
此时你并不会看见buddleidentifier group中的内容,这样也就实现了某些数据私有化!
原理
至于sam的一些其他用法,可以自行查看,代码很少,也比较简单!就是一些增删改查操作
查找过程:
1.(关键)先配置一个操作字典内容有:
kSecAttrService(属性),kSecAttrAccount(属性)这些属性or标签是查找的依据
kSecReturnData(值为@YES 表明返回类型为data),kSecClass(值为kSecClassGenericPassword 表示重要数据为“一般密码”类型)这些限制条件是返回结果类型的依据
2.然后用查找的API 得到查找状态和返回数据(密码)
3.最后如果状态成功那么将数据(密码)转换成string 返回
2.添加&更新
说明:当添加的时候我们一般需要判断一下当前钥匙串里面是否已经存在我们要添加的钥匙。如果已经存在我们就更新好了,不存在再添加,所以这两个操作一般写成一个函数搞定吧。
过程关键:1.检查是否已经存在 构建的查询用的操作字典:kSecAttrService,kSecAttrAccount,kSecClass(标明存储的数据是什么类型,值为kSecClassGenericPassword 就代表一般的密码)
2.添加用的操作字典: kSecAttrService,kSecAttrAccount,kSecClass,kSecValueData
3.更新用的操作字典1(用于定位需要更改的钥匙):kSecAttrService,kSecAttrAccount,kSecClass
操作字典2(新信息)kSecAttrService,kSecAttrAccount,kSecClass ,kSecValueData
使用keychain需要注意的问题
在使用keychain的时候要先选择team
当我们不支持Keychain Access Group,并且没有entitlement文件时,keychain默认以bundle id为group。如果我们在版本更新的时候改变了bundle id,那么新版本就访问不了旧版本的keychain信息了。解决办法是从一开始我们就打开KeychainSharing,添加Keychain Access Group,并且指定每条keychain Item的group,私有的信息就指定app的bundle id为它的group。
代码内Access group名称一定要有AppIdentifierPrefix前缀。
Keychain是基于数据库存储,不允许添加重复的条目。所以每条item都必须指定对应的唯一标识符也就是那些主要的key,如果Key指定不正确,可能会出现添加后查找不到的问题。
kSecAttrSynchronizable也会作为主要的key之一。它的value值默认为No,如果之前添加的item此条属性为YES,在搜索,更新,删除的时候必须添加此条属性才能查找到之前添加的item。
Kechain item字典内添加自定义key时会出现参数不合法的错误。
