在安卓设备上安全地本地存储密钥或密码

看起来你的问题实际上是“我能限制服务器只访问我的应用程序吗？”。这是不可能的。一旦一个应用程序或文件存在于客户端（例如用户设备）上，就没有确保防止该客户端访问该应用程序或文件中的任何内容的方法，无论是否经过您的授权。
如果设备可以读取它，那么设备就可以读取它 - 不管实际上是您的应用程序在读取，还是其他东西假装是应用程序。
你能做的最多的就是尝试混淆凭据，但这很不可能有用——那些可能有兴趣从你的应用程序中提取凭据的人，也很可能是那些有能力绕过这种混淆的人。
如果不了解你的用例，我实际上无法给出更具体的建议。对于远程API，通常会使用API密钥，但这需要用户创建帐户。对于无需账户的应用程序，你所想要的是根本不可能的。
我还应该注意到，“防止黑客”不是一个有意义的目标 - 这可能意味着很多事情。你需要阅读关于威胁建模如何工作的知识，确定你的“攻击者”是谁，他们的目标是什么，以及他们的能力是什么。只有这样，你才能试图找到对策。
编辑：我只想额外添加一个警告：任何告诉你混淆在这种情况下“有效”的人，都试图向你出售某些东西。不幸的是，他们通常在这种尝试中相当成功。混淆模型不能行得通并且无法起作用。