android - oauth2的access_token和refresh_token 在客户端中存储在哪里比较合适？

Question

项目需要通过oauth2登录，拿到返回的两个token后，琢磨存储在哪里合适？Android端。

1. 可以存储在SP当中？感觉是不是有点不安全

2. 存储在数据库里？用的是ormlite框架，就为这个得建个表？有没有更好的方式？？？

Answer 1

你觉得用SP存不安全，那么用数据库存同样不安全，这些数据都在内置储存/data/data/包名/的目录下。

你可以考虑在本地对token进行加密之后再持久化，这样其他人拿到token之后，还得研究你的代码才能得到正确的token。你非要说安全的话，你的源码还是会暴露，这又得考虑一下源码加固的问题了。

无论怎么弄，都没有绝对的安全，对吧，所以我建议：在本地对token进行一些加密操作，再用SP持久化就足够了。