Mi servidor me está enviando acceso y un token de actualización al iniciar sesión. ¿Debo guardarlos en las preferencias compartidas de Android cifrándolos? Quiero saber cuál es la mejor práctica para almacenar estos tokens, ya que almacenarlos directamente en las preferencias es fácil de hackear.
Android admite el hermoso concepto de Sandbox de aplicaciones , de modo que todas las aplicaciones se ejecutan como un usuario único y en su propia sandbox. El almacenamiento de datos local en un dispositivo no rooteado para aplicaciones no depurables normalmente no es accesible. Sin embargo, si el dispositivo está rooteado, el concepto de sandbox de la aplicación se colapsa y la aplicación instalada puede ejecutarse como un usuario "root" y, por lo tanto, acceder a los datos almacenados por cualquier otra aplicación en su directorio privado (/ data / data / package- nombre)
El almacenamiento del token como texto sin formato en el almacenamiento de datos local (SharedPreferences) no es una opción segura, ya que se puede acceder fácilmente a la misma desde un dispositivo no rooteado. Se recomienda que el token se cifre utilizando un algoritmo de cifrado seguro y una implementación segura en el almacenamiento de datos local.
Lea otras preguntas en las etiquetas authentication oauth android