我正在构建一个需要基于证书的身份验证的 Android 应用程序。我不太熟悉 Java/Kotlin 编程范例。证书将通过两种方式之一颁发,通过 API(由我控制)或通过设备管理工具,例如 MobiControl(这是目前唯一的一种,但我们可能必须使用其他设备管理工具)。我需要一种方法来安全地存储证书,但我们可以使用设备管理套件自动部署它们,并且它们将无限期保留。证书存储是否足够?在 unix 中,我会将它们存储在其中/etc/ssl/certs,但我不知道这是否是有效的 Android 方法。
1 回答
慕田峪4524236
TA贡献1875条经验 获得超5个赞
如果应用程序想要存储仅由该应用程序使用的客户端证书,我强烈建议使用该AndroidKeyStore系统。
如果设备支持,则私钥会加密存储,并且应用程序无法访问(仅使用)。即使应用程序本身无法提取私钥,但它可以使用私钥来使用 javaCipher实例签名或解密数据。
此外,您可以仅通过一个标志来设置使用证书需要设备身份验证(例如通过指纹),然后应用程序才能使用它。
添加回答
举报
0/150
提交
取消