Я аутентифицируюсь с помощью CSR губчатого замка PKCS10CertificationRequest в центре сертификации RESTful. Я рассматриваю возможность использования Android Authenticator.
Согласно: https://stuff.mit.edu/afs/sipb/project/android/docs/training/id-auth/custom_auth.html#Security
Важно понимать, что AccountManager не является службой шифрования или связкой ключей. Он хранит учетные данные учетной записи так же, как вы их передаете, в виде простого текста. На большинстве устройств это не представляет особой проблемы, поскольку они хранятся в базе данных, доступной только для root. Но на корневом устройстве учетные данные будут доступны для чтения любому, у кого есть доступ к устройству через adb.
Имея это в виду, вы не должны передавать фактический пароль пользователя в AccountManager.addAccountExplicitly(). Вместо этого вы должны ХРАНИТЬ КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННЫЙ ТОКЕН, который будет иметь ограниченное применение для злоумышленника.
Мои вопросы: я не уверен, что имеется в виду под ХРАНЕНИЕМ КРИПТОГРАФИЧЕСКИ ЗАЩИЩЕННОГО ТОКЕНА в этом контексте. Как выглядит этот токен (его тип?) в Android Java? И где его хранить? в брелке?? Используется ли этот токен в каком-либо другом контексте, кроме pw в addAccountExplicitly()?