IOS的keychain的三种使用方法

一、keychain介绍

根据苹果的介绍,iOS设备中的Keychain是一个安全的存储容器,可以用来为不同应用保存敏感信息比如用户名,密码,网络密码,认证令牌。苹果自己用keychain来保存Wi-Fi网络密码,VPN凭证等等。它是一个sqlite数据库,位于/private/var/Keychains/keychain-2.db,其保存的所有数据都是加密过的。

开发者通常会希望能够利用操作系统提供的功能来保存凭证(credentials)而不是把它们(凭证)保存到NSUserDefaults,plist文件等地方。保存这些数据的原因是开发者不想用户每次都要登录,因此会把认证信息保存到设备上的某个地方并且在用户再次打开应用的时候用这些数据自动登录。Keychain的信息是存在于每个应用(app)的沙盒之外的。

这个数据是存在系统的,所以就算卸载软件,也照样存在机器中,除非恢复系统

二、keychain的使用

这里总结keychain三个使用方法,分别是

  • 苹果官方的KeychainItemWrapper

  • 第三方封装sskeychain

  • 通过Security.framework框架使用

这三个方法我最推崇的是使用sskeychain这个封装的方案,更加简单方便,下载和使用地址在后面,现在开始说下每一个方法的使用

三、KeychainItemWrapper的使用

KeychainItemWrapper是苹果官方推出的,链接地址:点击进入官方文档,这个因为是官方推出的,所以很多人用,但是会有点坑,使用方案,首先去官方地址或者后面我的demo中,把KeychainItemWrapper.h和KeychainItemWrapper.m引入工程,因为这个是不支持arc的,所以引入之后需要到工程的设置中,把KeychainItemWrapper.m使用-fno-objc-arc这个关闭arc

//苹果官方keychain使用
-(void)AppleKeyChain
{
    NSLog(@"AppleKeyChain");
    //标识符(Identifier)在后面我们要从keychain中取数据的时候会用到。如果你想要在应用之间共享信息,那么你需要指定访问组(access group)。有同样的访问组 的应用能够访问同样的keychain信息。
    KeychainItemWrapper *wrapper = [[KeychainItemWrapper alloc] initWithIdentifier:DAMON accessGroup:nil];
//读取
    if (![wrapper objectForKey:(id)kSecValueData]) {
        NSLog(@"没有blog这个key");
    }
    else{
        NSLog(@"%@",[wrapper objectForKey:(id)kSecValueData]);
    }
//    设置service 必须
    [wrapper setObject:DAMON forKey:(id)kSecAttrService];
    //设置account 必须
    [wrapper setObject:DAMON forKey:(id)kSecAttrAccount];
    
    [wrapper setObject:@"hudongdongspp" forKey:(id)kSecValueData];
    
    //设置访问权限
    [wrapper setObject:(id)kSecAttrAccessibleAlwaysThisDeviceOnly forKey:(id)kSecAttrAccessible];
    
}

使用需要注意几点

1、[wrapper setObject:  forKey:]中,key必须要是他提供的那几个,在secitem.h里面,点击kSecAttrService就可以跳转进去,不能是自定义的

2、keychain内部应该是根据kSecAttrService和kSecAttrAccount作为标识的,所以必须设置,否则会崩溃

3、如果[[KeychainItemWrapper alloc] initWithIdentifier:DAMON accessGroup:nil];里面的Identifier改变了,那么需要把kSecAttrService和kSecAttrAccount也做改变,否则会提示Couldn't add the Keychain Item.或者Couldn't update the Keychain Item.这两个错误

4、标识符(Identifier)在后面我们要从keychain中取数据的时候会用到。如果你想要在应用之间共享信息,那么你需要指定访问组(access group)。有同样的访问组的应用能够访问同样的keychain信息。

5、kSecAttrAccessiblein变量用来指定这个应用合适需要访问这个数据。我们需要对这个选项特别注意,并且使用最严格的选项。这个键(key)可以设置6种值。当然,我们应该绝对不要使用kSecAttrAccessibleAlways。一个安全点的选项是kSecAttrAccessibleWhenUnlocked。有些选项是以 ThisDeviceOnly 结尾的,如果选中了这个选项,那么数据就会被以硬件相关的密钥(key)加密,因此不能被传输到或者被其他设备看到。即使它们提供了进一步的安全性,使用它们可能不是一个好主意,除非你有一个更好的理由不允许数据在备份之间迁移。

四、sskeychain的使用方法

sskeychain是samsoffes大神封装的一个方法,不像KeychainItemWrapper需要设置太多的选项,所以很好用

github下载地址:https://github.com/samsoffes/sskeychain

使用方法就是下载之后,把SSKeychain.h和SSKeychain.m文件拖入到自己的工程中,导入头文件即可

//SSKeychain使用方法
-(void)SSKeychain
{
    NSLog(@"SSKeychain");
    //读取
    if (![SSKeychain passwordForService:@"blog" account:@"hu"]) {
        NSLog(@"没有");
    }
    else{
        NSLog(@"%@",[SSKeychain passwordForService:@"blog" account:@"hu"]);
    }
    //写入
    [SSKeychain setPassword:@"damon" forService:@"blog" account:@"hu"];
    [SSKeychain setAccessibilityType:kSecAttrAccessibleAlwaysThisDeviceOnly];
}

这个操作起来比较简单明了,其实就是内部已经封装好了service等内容,不会出现KeychainItemWrapper这种没有设置就会崩溃的状况

五、Security.framework的使用

这个用到了系统库#import <Security/Security.h>

是用

SecItemDelete((CFDictionaryRef)keychainQuery);
SecItemAdd((CFDictionaryRef)keychainQuery, NULL);

这些方法来操作keychain的

这个稍微繁琐,我是看的这个文章的代码:http://v2panda.com/2015/01/07/iOS-keychain/

但是在网上搜索,几乎都是这个方法,所以就测试了下可以通过,所以就记录下原理

+ (NSMutableDictionary *)getKeychainQuery:(NSString *)service {
    return [NSMutableDictionary dictionaryWithObjectsAndKeys:
            (id)kSecClassGenericPassword,(id)kSecClass,
            service, (id)kSecAttrService,
            service, (id)kSecAttrAccount,
            (id)kSecAttrAccessibleAfterFirstUnlock,(id)kSecAttrAccessible,
            nil];
}

这个方法其实就是通过service这一个参数就和keychainitemwrapper里面提前预设了参数一样,把kSecAttrAccount和kSecAttrService直接用service一个参数设定了,然后把访问类型也预置了。

所以读写都会先调用这个预置的函数,就是获得同一个service里面的内容

//保存
+ (void)save:(NSString *)service data:(id)data {
    //Get search dictionary
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    //Delete old item before add new item
    SecItemDelete((CFDictionaryRef)keychainQuery);
    //Add new object to search dictionary(Attention:the data format)
    [keychainQuery setObject:[NSKeyedArchiver archivedDataWithRootObject:data] forKey:(id)kSecValueData];
    //Add item to keychain with the search dictionary
    SecItemAdd((CFDictionaryRef)keychainQuery, NULL);
}
//读
+ (id)load:(NSString *)service {
    id ret = nil;
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    //Configure the search setting
    //Since in our simple case we are expecting only a single attribute to be returned (the password) we can set the attribute kSecReturnData to kCFBooleanTrue
    [keychainQuery setObject:(id)kCFBooleanTrue forKey:(id)kSecReturnData];
    [keychainQuery setObject:(id)kSecMatchLimitOne forKey:(id)kSecMatchLimit];
    CFDataRef keyData = NULL;
    if (SecItemCopyMatching((CFDictionaryRef)keychainQuery, (CFTypeRef *)&keyData) == noErr) {
        @try {
            ret = [NSKeyedUnarchiver unarchiveObjectWithData:(__bridge NSData *)keyData];
        } @catch (NSException *e) {
            NSLog(@"Unarchive of %@ failed: %@", service, e);
        } @finally {
        }
    }
    if (keyData)
        CFRelease(keyData);
    return ret;
}
//删除
+ (void)delete:(NSString *)service {
    NSMutableDictionary *keychainQuery = [self getKeychainQuery:service];
    SecItemDelete((CFDictionaryRef)keychainQuery);
}

之后使用对应的方法即可,这个函数是在demo里面的customKeyChainTool文件里面

使用方法可以这样使用

//SecurityKeychain使用方法
-(void)SecurityKeychain
{
    NSLog(@"SecurityKeychain");
    NSMutableDictionary *usernamepasswordKVPairs = [NSMutableDictionary dictionary];
    [usernamepasswordKVPairs setObject:@"damon" forKey:@"key"];
    [customKeyChainTool save:@"mmmmm" data:usernamepasswordKVPairs];
    NSLog(@"%@",[(NSMutableDictionary*)[customKeyChainTool load:@"mmmmm"] objectForKey:@"key"]);
}

六、demo下载:

Github下载地址:https://github.com/DamonHu/KeyChainDemo

Gitosc下载地址:http://git.oschina.net/DamonHoo/KeyChainDemo

七、参考文章

Last modification:January 1st, 1970 at 08:00 am
如果看了这个文章可以让你少加会班,可以请我喝杯可乐
已打赏名单
微信公众号

Leave a Comment