详解iOS开发中Keychain的相关使用
一、keychain 基础
根据苹果的介绍,ios设备中的keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存wi-fi网络密码,vpn凭证等等。它是一个sqlite数据库,位于/private/var/keychains/keychain-2.db,其保存的所有数据都是加密过的。
开发者通常会希望能够利用操作系统提供的功能来保存凭证(credentials)而不是把它们(凭证)保存到nsuserdefaults,plist文件等地方。保存这些数据的原因是开发者不想用户每次都要登录,因此会把认证信息保存到设备上的某个地方并且在用户再次打开应用的时候用这些数据自动登录。keychain的信息是存在于每个应用(app)的沙盒之外的。
通过keychain access groups可以在应用之间共享keychain中的数据。要求在保存数据到keychain的时候指定group。把数据保存到keychain的最好方法就是用苹果提供的keychainitemwrapper。可以到这下载例子工程。第一步就是创建这个类的实例。
keychainitemwrapper *wrapper = [[keychainitemwrapper alloc] initwithidentifier:@”password” accessgroup:nil];
标识符(identifier)在后面我们要从keychain中取数据的时候会用到。如果你想要在应用之间共享信息,那么你需要指定访问组(access group)。有同样的访问组 的应用能够访问同样的keychain信息。
keychainitemwrapper *wrapper = [[keychainitemwrapper alloc] initwithidentifier:@”account number” accessgroup:@”your_app_id_here.com.yourcompany.generickeychainsuite”];
要把信息保存到keychain中,使用 setobject:forkey: 方法。在这里, (id)ksecattraccount 是一个预先定义好的键(key),我们可以用它来保存账号名称。 ksecclass指定了我们要保存的某类信息,在这里是一个通用的密码。ksecvaluedata可以被用来保存任意的数据,在这里是一个密码。
[wrapper setobject:ksecclassgenericpassword forkey:(id)ksecclass];
[wrapper setobject:@"username" forkey:(id)ksecattraccount];
[wrapper setobject:@"password"forkey:(id)ksecvaluedata];
[wrapper setobject:(id)ksecattraccessiblealwaysthisdeviceonly forkey:(id)ksecattraccessible];
ksecattraccessiblein变量用来指定这个应用合适需要访问这个数据。我们需要对这个选项特别注意,并且使用最严格的选项。这个键(key)可以设置6种值。
当然,我们应该绝对不要使用ksecattraccessiblealways。一个安全点的选项是ksecattraccessiblewhenunlocked。有些选项是以 thisdeviceonly 结尾的,如果选中了这个选项,那么数据就会被以硬件相关的密钥(key)加密,因此不能被传输到或者被其他设备看到。即使它们提供了进一步的安全性,使用它们可能不是一个好主意,除非你有一个更好的理由不允许数据在备份之间迁移。
要从keychain中获取数据,可以用 nsstring *accountname = [wrapper objectforkey:(id)ksecattraccount];
钥匙串中的条目称为secitem,但它是存储在cfdictionary中的。secitemref类型并不存在。secitem有五类:通用密码、互联网密码、证书、密钥和身份。在大多数情况下,我们用到的都是通用密码。许多问题都是开发人员尝试用互联网密码造成的。互联网密码要复杂得多,而且相比之下优势寥寥无几,除非开发web浏览器,否则没必要用它。keychainitemwrapper只使用通用密码,这也是我喜欢它的原因之一。ios应用很少将密钥和身份存储起来,所以我们在本书中不会讨论这方面的内容。只有公钥的证书通常应该存储在文件中,而不是钥匙串中。
最后,我们需要在钥匙串中搜索需要的内容。密钥有很多个部分可用来搜索,但最好的办法是将自己的标识符赋给它,然后搜索。通用密码条目都包含属性ksecattrgeneric,可以用它来存储标识符。这也是keychainitemwrapper的处理方式。
钥匙串中的条目都有几个可搜索的**属性**和一个加密过的**值**。对于通用密码条目,比较重要的属性有账户(ksecattraccount)、服务(ksecattrservice)和标识符(ksecattrgeneric)。而值通常是密码。
说明:
每一个keychain的组成如图,整体是一个字典结构.
1.ksecclass key 定义属于那一种类型的keychain
2.不同的类型包含不同的attributes,这些attributes定义了这个item的具体信息
3.每个item可以包含一个密码项来存储对应的密码
二、keychain操作
ios中security.framework框架提供了四个主要的方法来操作keychain:
// 查询
osstatus secitemcopymatching(cfdictionaryref query, cftyperef *result);
// 添加
osstatus secitemadd(cfdictionaryref attributes, cftyperef *result);
// 更新
keychain中的itemosstatus secitemupdate(cfdictionaryref query, cfdictionaryref attributestoupdate);
// 删除
keychain中的itemosstatus secitemdelete(cfdictionaryref query)
三、keychain使用
引入security包,引入文件 #import <security/security.h>
添加
- (ibaction)add:()sender {
(namefield.text.length > && passwordfield.text.length > ) {
nsmutabledictionary* dic = [nsmutabledictionary dictionary];
[dic setobject:()ksecclassgenericpassword forkey:()ksecclass];
[dic setobject:namefield.text forkey:()ksecattraccount];
[dic setobject:[passwordfield.text datausingencoding:nsutf8stringencoding] forkey:()ksecvaluedata];
osstatus s = secitemadd((cfdictionaryref)dic, null);
nslog(,s);
}
}
查找
- (ibaction)sel:()sender {
nsdictionary* query = [nsdictionary dictionarywithobjectsandkeys:ksecclassgenericpassword,ksecclass,
ksecmatchlimitall,ksecmatchlimit,
kcfbooleantrue,ksecreturnattributes,nil];
cftyperef result = nil;
osstatus s = secitemcopymatching((cfdictionaryref)query, &result);
nslog(,s);
nslog(,result);
}
- (ibaction)sname:()sender {
(namefield.text.length >) {
nsdictionary* query = [nsdictionary dictionarywithobjectsandkeys:ksecclassgenericpassword,ksecclass,
namefield.text,ksecattraccount,
kcfbooleantrue,ksecreturnattributes,nil];
cftyperef result = nil;
osstatus s = secitemcopymatching((cfdictionaryref)query, &result);
nslog(,s); nslog(,result);
(s == noerr) {
nsmutabledictionary* dic = [nsmutabledictionary dictionarywithdictionary:result];
[dic setobject:()kcfbooleantrue forkey:ksecreturndata];
[dic setobject:[query objectforkey:ksecclass] forkey:ksecclass];
nsdata* data = nil;
(secitemcopymatching((cfdictionaryref)dic, (cftyperef*)&data) == noerr) {
(data.length)
nslog(,[[[nsstring alloc] initwithdata:data encoding:nsutf8stringencoding] autorelease]);
}
}
}
}
修改
- (ibaction)update:()sender {
(namefield.text.length > && passwordfield.text.length > ) {
nsdictionary* query = [nsdictionary dictionarywithobjectsandkeys:ksecclassgenericpassword,ksecclass,
namefield.text,ksecattraccount,
kcfbooleantrue,ksecreturnattributes,nil];
cftyperef result = nil;
(secitemcopymatching((cfdictionaryref)query, &result) == noerr)
{
nsmutabledictionary* update = [nsmutabledictionary dictionarywithdictionary:(nsdictionary*)result];
[update setobject:[query objectforkey:ksecclass] forkey:ksecclass];
[update setobject:[passwordfield.text datausingencoding:nsutf8stringencoding] forkey:ksecvaluedata];
[update removeobjectforkey:ksecclass];
target_iphone_simulator
[update removeobjectforkey:()ksecattraccessgroup];
nsmutabledictionary* updateitem = [nsmutabledictionary dictionarywithdictionary:result];
[updateitem setobject:[query objectforkey:()ksecclass] forkey:()ksecclass];
osstatus status = secitemupdate((cfdictionaryref)updateitem, (cfdictionaryref)update);
nslog(,status);
删除
- (ibaction)del:()sender {
(namefield.text.length >) {
nsdictionary* query = [nsdictionary dictionarywithobjectsandkeys:ksecclassgenericpassword,ksecclass,
namefield.text,ksecattraccount,nil];
osstatus status = secitemdelete((cfdictionaryref)query);
nslog(,status); }
}
四、保存密码实例
来看一下使用keychain保存密码的例子:
@implementation wqkeychain
+ (nsmutabledictionary *)getkeychainquery:(nsstring *)service {
return [nsmutabledictionary dictionarywithobjectsandkeys:
(__bridge_transfer id)ksecclassgenericpassword,(__bridge_transfer id)ksecclass,
service, (__bridge_transfer id)ksecattrservice,
service, (__bridge_transfer id)ksecattraccount,
(__bridge_transfer id)ksecattraccessibleafterfirstunlock,(__bridge_transfer id)ksecattraccessible,
nil];
}
+ (void)save:(nsstring *)service data:(id)data {
//get search dictionary
nsmutabledictionary *keychainquery = [self getkeychainquery:service];
//delete old item before add new item
secitemdelete((__bridge_retained cfdictionaryref)keychainquery);
//add new object to search dictionary(attention:the data format)
[keychainquery setobject:[nskeyedarchiver archiveddatawithrootobject:data] forkey:(__bridge_transfer id)ksecvaluedata];
//add item to keychain with the search dictionary
secitemadd((__bridge_retained cfdictionaryref)keychainquery, null);
}
+ (id)load:(nsstring *)service {
id ret = nil;
nsmutabledictionary *keychainquery = [self getkeychainquery:service];
//configure the search setting
[keychainquery setobject:(id)kcfbooleantrue forkey:(__bridge_transfer id)ksecreturndata];
[keychainquery setobject:(__bridge_transfer id)ksecmatchlimitone forkey:(__bridge_transfer id)ksecmatchlimit];
cfdataref keydata = null;
if (secitemcopymatching((__bridge_retained cfdictionaryref)keychainquery, (cftyperef *)&keydata) == noerr) {
@try {
ret = [nskeyedunarchiver unarchiveobjectwithdata:(__bridge_transfer nsdata *)keydata];
} @catch (nsexception *e) {
nslog(@"unarchive of %@ failed: %@", service, e);
} @finally {
}
}
return ret;
}
+ (void)delete:(nsstring *)service {
nsmutabledictionary *keychainquery = [self getkeychainquery:service];
secitemdelete((__bridge_retained cfdictionaryref)keychainquery);
}
@end
@interface wquserdatamanager : nsobject
/**
* @brief 存储密码
*
* @param password 密码内容
*/
+(void)savepassword:(nsstring *)password;
/**
* @brief 读取密码
*
* @return 密码内容
*/
+(id)readpassword;
/**
* @brief 删除密码数据
*/
+(void)deletepassword;
@end
#import "wquserdatamanager.h"
@implementation wquserdatamanager
static nsstring * const key_in_keychain = @"com.wuqian.app.allinfo";
static nsstring * const key_password = @"com.wuqian.app.password";
+(void)savepassword:(nsstring *)password
{
nsmutabledictionary *usernamepasswordkvpairs = [nsmutabledictionary dictionary];
[usernamepasswordkvpairs setobject:password forkey:key_password];
[wqkeychain save:key_in_keychain data:usernamepasswordkvpairs];
}
+(id)readpassword
{
nsmutabledictionary *usernamepasswordkvpair = (nsmutabledictionary *)[wqkeychain load:key_in_keychain];
return [usernamepasswordkvpair objectforkey:key_password];
}
+(void)deletepassword
{
[wqkeychain delete:key_in_keychain];
}
@end
实现一个简单的界面,把设定的密码存起来,然后立即读取显示出来看看效果
-(ibaction)btnaciton:(id)sender
{
[wquserdatamanager savepassword:self.textfield.text];
self.label.text = [wquserdatamanager readpassword];
}