如何在安卓应用中安全地存储凭据（密码）？

目前安卓系统中没有类似iPhone的KeyChain功能。如果您想保密某些内容，请不要将其存储在设备上，或者至少不要将用于加密的密钥/密码存储在设备上。就这么简单。
另外：
1) 即使在ICS上，您也不能直接使用KeyChain来存储应用程序机密（请参见第3篇博客文章）。
2) 这只是对已经取得 root 权限的手机或者有物理接触到设备的人才存在问题。
3) 记住一个密码来保护所有凭据比尝试记住多个密码要好得多。此外，在ICS上，没有单独的密码，凭据存储由设备解锁密码保护。

哈希化是解决方案，不要将凭据以明文形式存储在共享首选项或任何介质中。

只需对密码进行盐处理和哈希处理，然后即可将其存储在sharedPreferences或某些嵌入式数据库中。

这是它的工作原理：

在线模式

1. 将明文（未经哈希处理的）密码发送到服务器进行身份验证和授权，登录成功后。

2. 盐可以由服务器生成并返回给客户端，也可以在客户端生成

3. 然后将其存储为盐并对密码进行哈希处理，再将其存储。

离线模式

1. 我们将使用我们存储的盐来哈希处理用户输入的密码

2. 我们将与存储的哈希进行比较，登录成功后

3. 如果两者相等，则允许用户进入，否则我们不允许用户进入。

优点：

1. 现在您无需担心版本兼容性问题。

2. 即使设备已root，也很难通过暴力破解哈希处理。

3. 即使有人反编译/破解应用程序，也很难进行逆向工程