iphone - sistema - tipos de ios
Tokens de acceso a las mejores prácticas(iOS) (1)
La "con" de UserDefaults necesita modificaciones: no hay encriptación por defecto . Puede cifrar el contenido usted mismo utilizando, por ejemplo, CommonCrypto, pero necesita un trabajo adicional sobre el almacenamiento del texto sin formato.
El punto de un token de OAuth es que alguien que posee ese token puede usar el servicio relevante sin tener que presentar credenciales. Por lo tanto, debe protegerla como protegería la contraseña si tuviera que guardarla, ya que tiene el mismo valor.
Si el dispositivo del usuario es robado, entonces, a menos que tengan un código de acceso bloqueado en su dispositivo, el ladrón tiene la capacidad de usar su aplicación como usuario en cualquiera de las situaciones que describe. Si no cifra el token de acceso, también tienen la capacidad de extraerlo y reproducirlo desde el código que está bajo su control.
¿Deben estar encriptados los tokens para servicios como Twitter y Facebook? En particular, ¿deberían almacenarse los tokens en el llavero del dispositivo frente a los valores predeterminados por el usuario? ¿Cuáles son algunos posibles problemas de seguridad que podrían surgir si el dispositivo de un usuario es robado / tomado?
Esto es lo que he encontrado hasta ahora.
Pros de Llavero: Encriptado
Contras: No hay forma de limpiar cuando el usuario elimina la aplicación
Pros de UserDefaults: Se mantiene dentro de la aplicación.
Contras: No hay cifrado.