iOS 之keychain详解(附有Demo)
iOS keychain是苹果用来保存用户私密数据的一个专业的SQLite数据库。保存的数据主要是一些轻量级的私密数据,比如用户密码,token(令牌)等,保存在这个数据库中的密码不会因为你卸载了app就不见了,只要你重新安装app。调用相关的服务、账户API就能得到app上次保存在数据库中的密码。这对于用户卸载app之后又重新安装但是却忘记了密码的情况很适用。
有一点很奇怪,经测试,不同的开发者账号访问同一服务同一账号下的密钥的时候竟然都能获取得到,这样岂不是会有冲突。希望有知道原因的小伙伴们在评论中留言,解答一下俺心中的疑问╮(~▽~)╭
iOS keychain共有5种类型: kSecClassGenericPassword、kSecClassInternetPassword、kSecClassCertificate、kSecClassKey、kSecClassIdentity
这五种类型分别有不同的属性,你可以理解为数据中5个不同的表,他们有各自对应的字段,因此对应的它们的增删改查其实有点类似于sql语句的操作,下面是不同类型对应的属性:
现在以kSecClassGenericPassword(一般的密码)为例:
增加keychain
//新增keychain
- (void)addKeychainPassword{
NSDictionary *query = @{(__bridge id)kSecAttrAccessible:(__bridge id)kSecAttrAccessibleWhenUnlocked,(__bridge id)kSecClass:(__bridge id)kSecClassGenericPassword,(__bridge id)kSecValueData:[@"" dataUsingEncoding:NSUTF8StringEncoding],(__bridge id)kSecAttrAccount:@"account name",(__bridge id)kSecAttrService:@"loginPassword"};
/*
参数一:
kSecAttrAccessibleWhenUnlocked 表示获取当前密钥只要屏幕处于解锁状态就可以了
kSecAttrAccessibleAfterFirstUnlock 表示手机第一次解锁就可以获取当前密钥
kSecAttrAccessibleAlways 表示任何时候都可以获取当前密钥
kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly 表示获取密钥只能在当前设备,把手机数据恢复到新的手机中是不可用的
kSecAttrAccessibleWhenUnlockedThisDeviceOnly 非锁定状态,且设备唯一指定,同上
kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly 第一次解锁,且设备唯一指定,同上
kSecAttrAccessibleAlwaysThisDeviceOnly 总是可以获取,当然也是设备唯一指定,同上
参数二:
kSecClassGenericPassword 为keychain类型
参数三:
kSecValueData 存储的数据,就是密码、token存储的地方,要转化为NSData类型
参数四:
kSecAttrAccount 为账户名 作为账户密码的唯一索引
参数五:
kSecAttrService 为服务名 作为账户密码的唯一索引
*/ CFTypeRef result;
OSStatus status = SecItemAdd((__bridge CFDictionaryRef)query, &result); if (status == errSecSuccess) {
NSLog(@"添加成功");
}else{
NSLog(@"添加失败");
}
}
查询keychain:
//查询keychain
- (void)queryKeychainPassword{
NSDictionary *query = @{(__bridge id)kSecClass:(__bridge id)kSecClassGenericPassword,
(__bridge id)kSecReturnData:@YES,
(__bridge id)kSecMatchLimit:(__bridge id)kSecMatchLimitOne,
(__bridge id)kSecAttrAccount:@"account name",
(__bridge id)kSecAttrService:@"loginPassword"};
//kSecMatchLimitOne 表示查询返回一条记录,有可能查到多条记录,一般默认返回一条记录
//kSecMatchLimitAll 表示返回所有记录
//SecItemCopyMatching函数会根据query里面的查询条件查找对应符合要求的记录,另外根据不同的keychain类型dataTypeRef会返回对应的不同类型如NSArray、NSDictionary、NSData CFTypeRef dataTypeRef = NULL;
OSStatus status = SecItemCopyMatching((__bridge CFDictionaryRef)query, &dataTypeRef);
if (status == errSecSuccess) {
NSString *pwd = [[NSString alloc]initWithData:(__bridge NSData*)dataTypeRef encoding:NSUTF8StringEncoding];
NSLog(@"pwd:%@",pwd);
}
}
查询keychain对应的属性:
//另外可以通过kSecReturnRef查询其他属性,相对于前面的返回密钥的引用,kSecReturnRef返回的是keychain所有的属性
- (void)queryMoreAttribute{
NSDictionary *query = @{(__bridge id)kSecClass:(__bridge id)kSecClassGenericPassword,
(__bridge id)kSecReturnRef:@YES,
(__bridge id)kSecReturnData:@YES,
(__bridge id)kSecMatchLimit:(__bridge id)kSecMatchLimitOne,
(__bridge id)kSecAttrAccount:@"account name",
(__bridge id)kSecAttrService:@"loginPassword"};
CFTypeRef dataTypeRef = NULL;
//重点是(__bridge id)kSecReturnRef:@YES,声明返回的数据是整个keychain的所有属性 OSStatus status = SecItemCopyMatching((__bridge CFDictionaryRef)query, &dataTypeRef); if (status == errSecSuccess) {
NSDictionary *dict = (__bridge NSDictionary *)dataTypeRef;
NSString *acccount = dict[(id)kSecAttrAccount];
NSLog(@"acccount:%@",acccount);
NSData *data = dict[(id)kSecValueData];
NSString *pwd = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
NSLog(@"pwd:%@",pwd);
NSString *service = dict[(id)kSecAttrService];
NSLog(@"service==result:%@", service);
}
}
更新keychain:
//修改keychain
- (void)changeKeychainPassword{
NSDictionary *query = @{(__bridge id)kSecClass:(__bridge id)kSecClassGenericPassword,
(__bridge id)kSecAttrService:@"loginPassword",
(__bridge id)kSecAttrAccount:@"account name"};
NSDictionary *update = @{(__bridge id)kSecValueData:[@"" dataUsingEncoding:NSUTF8StringEncoding]}; OSStatus status = SecItemUpdate((__bridge CFDictionaryRef)query, (__bridge CFDictionaryRef)update); if (status == errSecSuccess) {
NSLog(@"更新成功");
}
}
删除keychain:
//删除keychain
- (void)deleteKeychainPassword{
NSDictionary *query = @{
(__bridge id)kSecClass : (__bridge id)kSecClassGenericPassword,
(__bridge id)kSecAttrService : @"loginPassword",
(__bridge id)kSecAttrAccount : @"account name"
}; //尽量详细的添加多个属性,避免误删其他keychain OSStatus status = SecItemDelete((__bridge CFDictionaryRef)query); if (status == errSecSuccess) {
NSLog(@"成功删除");
}
}
iOS keychain有一个特色功能就是keychainsharing,它能实现多个同一个开发者账号下的多个应用共享keychain,前提是要开启keychainsharing功能,如下图所示:
可以在keychainsharing中对应的分组,把keychain添加的到分组的操作可以这样写
//sharing Items
//添加sharing Items
- (void)addSharingItems{
NSDictionary *query = @{(__bridge id)kSecAttrAccessible : (__bridge id)kSecAttrAccessibleWhenUnlocked,
(__bridge id)kSecClass : (__bridge id)kSecClassGenericPassword,
(__bridge id)kSecValueData : [@"" dataUsingEncoding:NSUTF8StringEncoding],
(__bridge id)kSecAttrAccount : @"account name",
(__bridge id)kSecAttrAccessGroup : @"5Q8QKERR7H.com.mycom.iOS-keychain",
(__bridge id)kSecAttrService : @"loginPassword",
(__bridge id)kSecAttrSynchronizable : @YES,
};
/*
(__bridge id)kSecAttrSynchronizable : @YES 表示可以同步到icloud,如果要同步到其他设备,请注意避免使用DeviceOnly设置等其他和设备唯一性相关的设置
*/
OSStatus status = SecItemAdd((__bridge CFDictionaryRef)query, nil); if (status == errSecSuccess) {
NSLog(@"sharing Items添加成功");
}else{
NSLog(@"sharing Items添加失败");
}
}
查询对应的分组
//查询sharing Items
- (void)querySharingItems{
NSDictionary *query = @{(__bridge id)kSecClass : (__bridge id)kSecClassGenericPassword,
(__bridge id)kSecReturnRef : @YES,
(__bridge id)kSecReturnData : @YES,
(__bridge id)kSecMatchLimit : (__bridge id)kSecMatchLimitAll,
(__bridge id)kSecAttrAccount : @"account name",
(__bridge id)kSecAttrAccessGroup : @"5Q8QKERR7H.com.mycom.iOS-keychain",
(__bridge id)kSecAttrService : @"loginPassword",
}; CFTypeRef dataTypeRef = NULL; OSStatus status = SecItemCopyMatching((__bridge CFDictionaryRef)query, &dataTypeRef); if (status == errSecSuccess) {
NSLog(@"sharing Items查询成功");
}else{
NSLog(@"sharing Items查询失败");
}
}
和对单个keychain进行操作不同的是添加多了一个kSecAttrAccessGroup属性,用于指明对应的分组,这里要注意的是要添加开发者账号的teamId,用于区分不同的开发者。
SSKeychain框架 github地址:https://github.com/Mingriweiji-github/sskeychain-master
如果都是自己定义属性进行增删改查的操作,是比较容易出bug的,而且操作也比较繁琐,毕竟这些操作都是基于C语言的API操作。下面介绍一个简单的轻量级框架SSKeychain来实现我们对密钥的增删改查,闲话少说,直接上代码:
- (void)viewDidLoad {
[super viewDidLoad];
// Do any additional setup after loading the view, typically from a nib.
// [SSKeychain setAccessibilityType:kSecAttrAccessibleWhenUnlocked]; //设置访问权限,不设置则按照默认权限(这个我看源码没有显示默认的是什么,不知道keychain默认保存的权限是不是kSecAttrAccessibleAlways)
[SSKeychain setPassword:@"" forService:kKeyChainSaveAccountService account:kKeyChainSaveAccount]; //设置密钥
[SSKeychain setPassword:@"" forService:kKeyChainSaveAccountService account:kKeyChainSaveAccount1]; //设置密钥
NSError *error;
NSString *password = [SSKeychain passwordForService:kKeyChainSaveAccountService account:kKeyChainSaveAccount error:&error]; //获取密钥
NSLog(@"password:%@,error:%@",password,error);
NSArray *counts = [SSKeychain accountsForService:kKeyChainSaveAccountService error:&error];
NSLog(@"counts:%@",counts); //获取服务下相关账户所有的属性
NSError *error1;
[SSKeychain deletePasswordForService:kKeyChainSaveAccountService account:kKeyChainSaveAccount error:&error1];
if (error1) {
NSLog(@"删除失败:%@",error1);
}else{
NSLog(@"删除成功");
}
}
最后附上本文Demo:https://github.com/LuPing-Kuang/iOS-keychain
iOS 之keychain详解(附有Demo)的更多相关文章
- 了解iOS消息推送一文就够:史上最全iOS Push技术详解
本文作者:陈裕发, 腾讯系统测试工程师,由腾讯WeTest整理发表. 1.引言 开发iOS系统中的Push推送,通常有以下3种情况: 1)在线Push:比如QQ.微信等IM界面处于前台时,聊天消息和指 ...
- iOS开发者证书-详解
iOS开发者证书-详解/生成/使用 本文假设你已经有一些基本的Xcode开发经验, 并注册了iOS开发者账号. 相关基础 加密算法 现代密码学中, 主要有两种加密算法: 对称密钥加密 和 公开密钥加密 ...
- 转载]IOS LBS功能详解[0](获取经纬度)[1](获取当前地理位置文本 )
原文地址:IOS LBS功能详解[0](获取经纬度)[1](获取当前地理位置文本作者:佐佐木小次郎 因为最近项目上要用有关LBS的功能.于是我便做一下预研. 一般说来LBS功能一般分为两块:一块是地理 ...
- iOS中-Qutarz2D详解及使用
在iOS中Qutarz2D 详解及使用 (一)初识 介绍 Quartz 2D是二维绘图引擎. 能完成的工作有: 绘制图形 : 线条\三角形\矩形\圆\弧等 绘制文字 绘制\生成图片(图像) 读取\生成 ...
- iOS 2D绘图详解(Quartz 2D)之路径(点,直线,虚线,曲线,圆弧,椭圆,矩形)
前言:一个路径可以包含由一个或者多个shape以及子路径subpath,quartz提供了很多方便的shape可以直接调用.例如:point,line,Arc(圆弧),Curves(曲线),Ellip ...
- iOS开发——Block详解
iOS开发--Block详解 1. Block是什么 代码块 匿名函数 闭包--能够读取其他函数内部变量的函数 函数变量 实现基于指针和函数指针 实现回调的机制 Block是一个非常有特色的语法,它可 ...
- iOS开发:详解Objective-C runTime
Objective-C总Runtime的那点事儿(一)消息机制 最近在找工作,Objective-C中的Runtime是经常被问到的一个问题,几乎是面试大公司必问的一个问题.当然还有一些其他问题也几乎 ...
- iOS应用开发详解
<iOS应用开发详解> 基本信息 作者: 郭宏志 出版社:电子工业出版社 ISBN:9787121207075 上架时间:2013-6-28 出版日期:2013 年7月 开本:16开 ...
- laravel5.5的任务调度(定时任务)详解(demo)
https://blog.csdn.net/LJFPHP/article/details/80417552 laravel5.5的定时任务详解(demo) 这篇文章写得挺详细的.看了它我基本就会用了 ...
随机推荐
- Java IO 乱码
InputStreamReader isr = new InputStreamReader(new FileInputStream("./test/垃圾短信训练集80W条.txt" ...
- centos7 lvm合并分区脚本初探-linux性能测试 -centos7修改网卡名字-jdk环境安装脚本-关键字查询文件-批量添加用户
1.#!/bin/bash lvmdiskscan | grep centos > /root/a.txt a=`sed -n '1p' /root/a.txt` b=`sed -n '2p' ...
- 吴裕雄--天生自然 JAVASCRIPT开发学习:运算符
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...
- 图像算法五:【图像小波变换】多分辨率重构、Gabor滤波器、Haar小波
原 https://blog.csdn.net/alwaystry/article/details/52756051 图像算法五:[图像小波变换]多分辨率重构.Gabor滤波器.Haar小波 2018 ...
- redis常用命令--zsets
zsets常用命令: zadd key score1 mb1 [score2 mb2....]:像key中添加元素和这个元素的分数,如果元素已经存在,则替换分数. zscore key mb :获取k ...
- Java学习——代理模式
Java中的三种代理模式 一,什么是代理模式? 代理模式是一种设计模式,简单的来说就是在不改变源码的情况下,实现对目标对象的功能扩展. 比如有个歌手对象叫Singer,这个对象有一个唱歌方法叫sing ...
- linux下创建swap分区
两种不同的方式创建swap分区 第一种方法: fdisk /dev/sda n (新建一个分区为/dev/sda6) t (修改分区的id) 82 (swap的id为82) w (重写分区表) par ...
- OA|DOAJ|Highwire press|Springeropen|Plos journal|电子印本|中国科技论文在线|arxiv|chinaxiv|MIT机构知识库|中科院机构知识库|Email alert|Citeseer|RSS|F1000 prime
信息检索 OA:open access开放获取 金色OA:出版社主导, 开放出版,全部都可以下载. 开放论文:只有部分可以下载. 绿色OA:作者主导,发表后放在机构知识库中,排版不同,但是内容一致.E ...
- 多种类型SQL注入
前言 发现MYSQL手注注入方式用得多了,几乎都快忘记其它数据库注入的方式了,这里不讲绕过姿势和写shell,毕竟网上很多前辈都给了方法,我只讲一些基本的注入方式(只是记录一下各自的特性,记下来方便以 ...
- shell脚本判断进程是否运行
zzx@zzx120:~$ if ps aux | grep "python"|grep -v grep > /dev/null #$?的值不同 th ...