這里討論下如何使用Android Keystore保存密碼等敏感信息，如何加密、解密數(shù)據(jù)。

在開始討論之前我們先搞清楚一些基礎(chǔ)知識(shí)。Keystore不只是可以保存密碼，還可以保存敏感數(shù)據(jù)，而且它的實(shí)現(xiàn)方式使得黑客或者惡意程序很難破信息。

Android的Keystore系統(tǒng)可以把密鑰保持在一個(gè)難以從設(shè)備中取出數(shù)據(jù)的容器中。當(dāng)密鑰保存到Keystore之后，可以在不取出密鑰的狀態(tài)下進(jìn)行私密操作。此外，它提供了限制何時(shí)以何種方式使用密鑰的方法，比如使用密鑰時(shí)需要用戶認(rèn)證或限制密鑰只能在加密模式下使用。

一個(gè)應(yīng)用程式只能編輯、保存、取出自己的密鑰。這個(gè)概念很簡(jiǎn)單，但是功能很強(qiáng)大。App可以生成或者接收一個(gè)公私密鑰對(duì)，并存儲(chǔ)在Android的Keystore系統(tǒng)中。公鑰可以用于在應(yīng)用數(shù)據(jù)放置到特定文件夾前對(duì)數(shù)據(jù)進(jìn)行加密，私鑰可以在需要的時(shí)候解密相應(yīng)的數(shù)據(jù)。

如果你只是想看代碼，可以直接點(diǎn)擊這里。

簡(jiǎn)單起見，我寫了一個(gè)demo演示如何使用Android Keystore保存密碼，加密、顯示加密形式以及解密。

這里我就不寫xml了，都是一些簡(jiǎn)單的東西，我在文后貼出所有的代碼。

我這里新建了2個(gè)類文件。一個(gè)是EnCryptor，另一個(gè)是Decryptor。通過名字很容易知道其功能。

創(chuàng)建新密鑰

在開始編碼之前，我們需要給加密/解密數(shù)據(jù)的別名進(jìn)行命名，名字可以是任意字符串，但是不可以是空字符串。別名是顯示在Android Keystore中生成的密鑰的名字。

首先我們需要獲取Android KeyGenerator的實(shí)例：

這里我們?cè)O(shè)置使用KeyGenerator的生成的密鑰加密算法是AES，我們將在AndroidKeyStore中保存密鑰／數(shù)據(jù)。

接下來我們能使用KeyGenParameterSpec.Builder 創(chuàng)建KeyGenParameterSpec ，傳遞給KeyGenerators的init方法。

KeyGenParameterSpec是什么，可以把它當(dāng)作我們要生成的密鑰的參數(shù)。例如，我們需要給密鑰設(shè)置一個(gè)特定的過期時(shí)間。

KeyGenParameterSpec的代碼：

首先我們傳遞了一個(gè)別名，這個(gè)名字可以是任意的，之后我們?cè)O(shè)置意圖，是加密還是解密數(shù)據(jù)。

setBlockMode保證了只有指定的block模式下可以加密，解密數(shù)據(jù)，如果使用其它的block模式，將會(huì)被拒絕?？梢栽?a target="_blank" rel="nofollow">這里查看不同的block模式。

我們使用了“AES/GCM/NoPadding”變換算法，還需要設(shè)置KeyGenParameterSpec的padding類型。

加密數(shù)據(jù)

以上的執(zhí)行完之后，加密數(shù)據(jù)非常簡(jiǎn)單：

首先我們使用keyGenParameterSpec初始化KeyGenerator，之后我們生成了SecretKey。

現(xiàn)在我們有了secretkey，我們可以初始化Cipher 對(duì)象，這將是實(shí)際的加密過程。我們需要設(shè)置Clipher編碼類型：

之后我們有了ciphers initialization vector (IV)的引用，可以用于解密。我們使用doFinal(textToEncrypt)拿到了最終的編碼，doFinal(textToEncrypt)返回的就是最重的加密數(shù)據(jù)。

解密

獲取KeyStore實(shí)例：

我們用keyStore獲取我們的secret key，我們還需要一個(gè)SecretKeyEntry：

之前KeyGenParameterSpecs中設(shè)置的block模式是KeyProperties.BLOCK_MODE_GCM，所以這里只能使用這個(gè)模式解密數(shù)據(jù)。

我們需要為GCMParameterSpec 指定一個(gè)認(rèn)證標(biāo)簽長(zhǎng)度（可以是128、120、112、104、96這個(gè)例子中我們能使用最大的128），并且用到之前的加密過程中用到的IV。

獲取加密數(shù)據(jù)：

獲取解密數(shù)據(jù)：

這就是整個(gè)過程了。

源碼地址：HERE

原文地址：https://medium.com/@josiassena/using-the-android-keystore-system-to-store-sensitive-information-3a56175a454b#.3lly5mk5i

推薦閱讀：

重要-作為Android開發(fā)者必須了解的Gradle知識(shí)

編寫高效的Android代碼（譯）

Android中使用gradient的一條建議

尋找卓越的（Android）軟件工程師