iOS 8、9 上的 NSUserDefaults 有多安全？

Question

24

在应用内购买编程指南中建议您可以在NSUserDefaults中持久化应用内购买，此处。然而，我发现这篇文章说它是不安全的，其中的数据容易被访问和修改：

NSUserDefaults以二进制格式存储在plist中，没有加密，并存储在您的应用程序目录中。这意味着任何用户（即使是最简单的用户）都可以在5分钟内轻易地调整您的NSUserDefaults。

如果真的如此，用户可以很容易地免费获得使用NSUserDefaults持久化的任何应用内购买。 这篇文章对于iOS 8,9仍然正确吗？如果是，您如何持久化应用内购买？我希望一些简单的解决方案。我不想要（也不希望）验证收据等操作。

- Rasto

4

用户默认设置并不安全。但是，您真的在那里保存敏感数据吗？ - Sulthan

@Sulthan 请仔细阅读问题。我想将应用内购买存储在那里（正如苹果建议的那样）。我相信应用内购买足够敏感。 - Rasto

有许多模型可以将付费内容保存在用户默认设置中。如果您不想进行验证，您总是可以使用钥匙串。有许多库允许简单地使用钥匙串，例如Locksmith。而且钥匙串非常安全。它还会持久存在，即使您删除了应用程序，也可以在设备或应用程序之间共享。 - Sulthan

顺便说一下，最危险的事情就是使用 GitHub 库（例如 IAPManager）。对于越狱设备，有一些工具专门针对这些库，通过假装所有产品都已购买来攻击它们。 - Sulthan

@Sulthan 请随意查看我在crashoverride777的回答下的评论。我也想知道您对此事的看法。 - Rasto

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- crashoverride777 · Accepted Answer

强烈建议不要将敏感数据存储在UserDefaults中，例如应用内购买或明显的数据，例如密码。即使是高分数等数据也最好保存在钥匙串中，以防止作弊。

我认为苹果文档的这一部分已经过时，应该更改，因为UserDefaults不是存储敏感数据的方式，而应用内购买绝对是我的看法。

只需在UserDefaults中保存基本数据，如语言设置、音频设置等。

如果您想保存敏感数据，应使用Keychain。我认为Keychain API使用起来相当棘手，但是GitHub上有一个很棒的助手可供使用，它支持CocoaPods和SwiftPackageManager，并由作者积极维护。

我曾经使用的另外两个项目，不幸的是似乎已经不再得到支持。

需要记住的一件事是，钥匙串即使您删除了应用程序，数据仍然存在，这实际上是一件好事。

所有功劳归于各自包装器的作者。

希望这有所帮助。