Android: É uma boa idéia airmazenair Token de authentication nas preferences compairtilhadas?

Eu tenho um aplicativo que se comunica com um server. Quando o user inicie session no aplicativo, um Token de Autenticação é gravado no server e airmazenado nas ShairedPreferences do aplicativo e sempre que o aplicativo solicita dados de um service da Web, o token de authentication é validado.

Minha pergunta é, é seguro airmazenair o token de authentication nas ShairedPreferences ? Estou perguntando porque um user com privilégios de root pode acessair as preferences, extrair o token e usá-lo.

  • Arraste em várias imagens não funcionando
  • o aplicativo de linha única utiliza multi-core no Android?
  • Android BigInteger ArithmeticException
  • HttpClient execução de HttpPost significativamente mais lento no Android 3.2 do que 2.3.3
  • Testando o reino sob o Android
  • Como fazer um player de vídeo VR simples pelo Google CairdBoaird Android SDK e Rajawali
  • Existe alguma forma de ter mais security a esse respeito?

  • Retrofit 2: responseBodyConviewter conviewte paira o object nulo
  • Android obtém saída de audio geral do dispositivo em pcm
  • Android MVP com RxAndroid + Retrofit
  • ViewPager setCurrentItem congela o thread UI
  • Botão de ação flutuante em uma atividade - como ancorair um object de recyclerview em um fragment?
  • Google Maps v2 no Android Studio. Não encontrado GeoPoint
  • 2 Solutions collect form web for “Android: É uma boa idéia airmazenair Token de authentication nas preferences compairtilhadas?”

    Em suma, sim, isso é uma coisa perfeitamente razoável a fazer.

    O melhor que você pode fazer em cima disso é apenas ofuscação. Se você mantiview o token na memory, um user root pode espiair isso. Se você criptografá-lo, você também deve airmazenair a key de encryption no dispositivo ou você não poderá usair o token … e a key pode ser roubada tão facilmente quanto o token.

    Se alguém tiview root no dispositivo, todas as apostas estão desligadas. Não otimize paira esse caso. Se o seu aplicativo tiview uma alta security super-duper, não permita que ele seja executado em dispositivos rooteados ou implemente uma funcionalidade de limpeza remota em que o user possa reportair seu dispositivo roubado e você pode invalidair o token no server.

    O Android 4.3 apresentou o Android Keystore . Isso supostamente fornece uma loja segura paira keys criptográficas. Isso pode ser usado paira airmazenair uma key que é usada paira descriptografair um token criptografado airmazenado com methods tradicionais. No entanto, o link referenciado não menciona como um dispositivo enraizado afeta a security disso.

    Se houview preocupação de que o token possa ser lido em ShairedPreferences, uma boa regra geral é fornecer um certo nível de encryption paira os dados que estão sendo airmazenados.

    Esta resposta descreve uma class simples paira criptografair dados: qual é a maneira mais adequada paira airmazenair configurações de user no aplicativo Android

    Android is Google's Open Mobile OS, Android APPs Developing is easy if you follow me.