ios - 即使在钥匙串(keychain)安全之后，在代码中设置凭据仍然可能受到损害

Question

我想在我的 iOS 应用程序中存储用户名、密码、身份验证 token ，以便我可以连接到我的数据库、执行操作等。我注意到推荐的方式是钥匙串(keychain)。这样做的原因是，恶意黑客如果通过越狱或其他方式获取了您的 ipa，就可以读取您的代码并查看用户名/密码。

但我的问题是，一旦用户登录并将他们的用户名和密码保存在钥匙串(keychain)中，我就在代码本身中设置凭据，那么这如何安全？如果黑客获得了 ipa 并打开了代码，他们就会看到我在哪里设置密码，或者是否有地方可以存储密码，这样就没有人能真正看到它。

我读了很多关于钥匙串(keychain)安全性的文章，我绝对同意这一点，但是在钥匙串(keychain)中设置值必须在代码本身中完成，如果有人获得代码并可以看到它，这会让我担心。

引用:https://medium.com/ios-os-x-development/securing-user-data-with-keychain-for-ios-e720e0f9a8e2

Answer 1

您可以通过检测应用程序是否在越狱手机上运行来添加额外的保护层 How do I detect that an iOS app is running on a jailbroken phone?

钥匙串(keychain)还为数据加密时的密码或私钥提供保护。

应用程序只能访问自己的钥匙串(keychain)项目，或与应用程序所属的组共享的钥匙串(keychain)项目。

https://developer.apple.com/library/content/documentation/Security/Conceptual/keychainServConcepts/02concepts/concepts.html