在 iPad/iPhone 上的用户会话期间存储安全密钥是否安全？

Question

在我的应用程序中，一旦用户通过身份验证，他就会收到一种安全密钥，需要将其存储在 iPhone/iPad 上的会话中。该安全密钥用于他在会话期间的所有未来请求。 如果我在获得密钥后将其存储在某个全局变量中，它有多安全？ iPhone越狱后可以访问吗？如果是这样，保存会话密钥的安全位置是什么？

谢谢， 赫塔尔

Answer 1

您担心谁会窃取代码？用户还是其他恶意程序？如果是用户，并且代码非常有价值，那么理论上，任何能够物理访问该设备的人都可以破解它。但实际上，你是相当安全的。您可以在代码位于内存中时对其进行加密，并仅在使用时对其进行解密。

同样，实际上，网络应用程序始终通过 cookie 来执行此操作。如果代码仅对单个会话有效，那么即使它被泄露，您也可能是安全的。您可能希望认为代码在内存中时是“安全的”，但需要采取其他保护措施来检测代码何时以及是否被盗。即代码仅在 10 分钟内有效，然后必须刷新，仅对一个 IP 有效或对交易数量进行限制等。具体取决于您的应用程序需求。