1、前言
在iOS开发中,我们或多或少会使用Keychain
服务来存储用户的账号密码、证书或其他重要的信息。
根据苹果的介绍,iOS设备中的
Keychain
是一个安全的的存储容器(加密的数据库),可以用来为不同的App保存账户密码、证书或认证令牌等等。
Keychain
是系统级的服务,即使App
被卸载掉,之前App
保存在Keychain
中的项目也不会被清除,除非设备进行刷机。所以特别使用于identifierForVendor+Keychain
来代替设备ID的解决方案。另外Keychain
也支持App
间共享保存在Keychain
中的项目,不过共享仅限于同一开发者账号下App
之间进行共享。而本文将介绍我对Keychian
共享相关的经验。
2、Keychain基本使用
对于Keychain
的基本使用我就不再多做介绍,网上的教程很多。可以结合官方的GenericKeychain示例项目进行学习。
由于原生的Keychain
API使用起来比较复杂,所以我推荐结合第三方框架来简化使用Keychain
的流程。
推荐Keychain
框架:
另外,附上官方关于Keychain
的一些Demo,方便学习:
3、Keychain共享
3.1、了解Keychain的数据组织形式
首先需要了解,Keychain
中的Item
都是按照Keychain Access Group
(访问组)进行分组存取,不同组之间彼此隔离。如图3-1所示,两个的App:AppOne和AppTwo,AppOne的只有一个访问组为$(teamID).com.example.AppOne
,而AppTwo也只有一个访问组$(teamID).com.example.AppTwo
,它们属于不同的访问组,所以彼此隔离。
3.2、Keychain Access Group规范
访问组的格式为:$(teamID).$(组名)
,组名最好以反向DNS的写法形式
例如:
假设团队ID为:S5VDKE9N8V
,组名为:com.example.AppOne
则访问组写法为:S5VDKE9N8V.com.example.AppOne
问题:团队ID在哪里看到?
- 打开https://developer.apple.com
- 选择
Account
并登陆账号 - 选择
Membership
标签查看账号信息,如图3-2,其中的Team ID就是团队ID
3.3、App默认的访问组
每个App可以有多个访问组,且默认都有自己的访问组。
在应用分发期间对应用程序进行代码签名之前,Xcode会自动将您的团队ID作为前缀并组合应用的Bundle Identifier
(例如: com.example.AppOne
)字符串存储为app ID
。系统会将此app ID
当做应用程序私有访问组的名称并包含在应用程序的访问组数组中。如下形式:
[$(teamID).com.example.AppOne]
由于应用ID在所有应用中都是唯一的,并且因为应用ID存储在受代码签名保护的entitlement中,因此没有其他应用可以使用它,因此该群组中没有其他应用。与此访问组一起存储的任何keychain items
都是AppOne专用的。同样,如果您有第二个应用程序,其Bundle Identifier
为com.example.AppTwo
,则它自动拥有自己的私有组。
[$(teamID).com.example.AppTwo]
因此,默认情况下,每个应用的keychain items
仍与其他应用彼此隔离。如上述的图3-1。
3.3、开启Keychain共享
由于默认情况下,每个应用的keychain items
与其他应用彼此隔离,因此如果您希望两个应用程序能够共享钥匙串项目,则可以将两者都添加到同一个Keychain
访问组中。通过在每个应用程序的Xcode中启用Keychain Sharing
功能,并在每种情况下将一个公共的访问组名添加到钥匙串组列表中来执行此操作。比如使用共同的访问组名:com.example.SharedItems
。如图3-3:
如上启用AppOne功能后,其应用程序的访问组数组将变为:
[$(teamID).com.example.SharedItems,
$(teamID).com.example.AppOne]
如果您还将相同的访问组添加到AppTwo,其应用程序的访问组数组将变为:
[$(teamID).com.example.SharedItems,
$(teamID).com.example.AppTwo]
如此,AppOne和AppTwo将获得重叠区域以共享项目,如图3-4
注意:
AppOne和AppTwo必须属于同一个开发者,否则无法如何都不能共享
AppOne不用显式地在
Keychain Sharing
的访问组列表中添加com.example.AppOne
,因为即使不开启Keychain Sharing功能,Xcode签名打包之前也是会自动添加,AppTwo也是如此。(每个应用程序都有自己默认的私有访问组)若AppTwo在
Keychain Sharing
的访问组列表中添加了com.example.AppOne
,即使AppOne没有在Xcode中开启Keychain Sharing
功能,AppTwo也照样可以读取AppOne使用默认私有组(com.example.AppOne
)存储的钥匙串项目,反过来也是一样。因此在Keychain Sharing下没有绝对的私有钥匙串的概念。-
不要特意去修改entitlements文件中访问组的$(AppIdentifierPrefix)为自己的团队ID,因为Xcode会在签名打包前自动处理
另外,使用Keychain必须在真机环境下,在模拟器环境中会出现莫名其妙的问题。
顺便附上自己的KeychainSharing Demo,仅供学习参考。
问:$(AppIdentifierPrefix)是什么?
答:其实$(AppIdentifierPrefix)就是团队ID,比如在注册一个App ID的时候就会发现App ID Prefix就是团队ID,如下图所示