Iphone 访问令牌持久性最佳实践（iOS）

Twitter和Facebook等服务的访问令牌是否应该加密？ 特别是，令牌是否应该存储在设备的密钥链上？如果用户的设备被盗/被盗，可能会出现哪些安全问题

这就是我到目前为止所想到的

钥匙链的优点： 加密的

缺点： 用户删除应用程序时无法清理

用户默认值的优点： 保存在应用程序中

缺点：

---

无加密。

您的用户默认值“con”需要修改：默认情况下无加密。您可以自己使用CommonCrypto等加密内容，但在存储纯文本方面需要额外的工作

OAuth令牌的要点是拥有该令牌的人可以使用相关服务，而无需提供凭据。因此，您应该像必须存储密码一样保护它，因为它具有相同的值

如果用户的设备被盗，那么除非他们的设备被密码锁定，否则窃贼可以在您描述的任何一种情况下以用户身份使用您的应用程序。如果您不加密访问令牌，则他们还可以从其控制的代码中提取并重播该令牌。

检查此线程：。密钥链项被持久化。