He hecho esta pregunta antes, pero no obtuve respuestas adecuadas, así que aquí voy de nuevo. ¿Cómo implementa la seguridad el administrador de cuentas de Android que se utiliza para almacenar sus nombres de usuario y contraseñas de Google, Facebook, Twitter, etc.? Por ejemplo, si mi teléfono está rooteado, ¿una aplicación de terceros no puede leer las contraseñas de las cuentas de donde sea que estén? Me imagino que el administrador de la cuenta debe almacenar estas contraseñas en algún lugar del dispositivo, nuestro inicio de sesión no funcionaría, especialmente si el dispositivo no estuviera conectado. Gracias por tus explicaciones.
No podemos investigar las fuentes del Administrador de cuentas de Google: mientras que Android en sí es de código abierto, las aplicaciones de Google no lo son. Pero podemos hacer una conjetura educada:
En este caso, no es necesario almacenar contraseñas en el dispositivo. Una vez que ingresa su contraseña, se confirma en el lado del servidor y recibe un "token de autenticación" a cambio. Ese token se guarda en el dispositivo y lo usa hasta que se vuelve inválido (ya sea por vencimiento o por revocación), en cuyo caso se le pedirá nuevamente su contraseña y el juego comenzará de nuevo. Es por eso que simplemente puede "revocar el acceso" de los dispositivos sin tener que cambiar la contraseña de su cuenta.
El token siempre es específico para el dispositivo (la misma razón; de lo contrario, no podría revocar el acceso desde un dispositivo sin afectar a ningún otro). No puedo decir si el token sería inútil para alguna "aplicación raíz" que lo adquiriera sin su permiso (las aplicaciones que no son raíz tendrían que pedirle su confirmación al acceder a él por primera vez), o qué podrían hacer con dicho token. mientras está fuera de línea (nuevamente, partes de código cerrado), tal vez alguien más pueda arrojar luz sobre eso.
izzy
Jack Maddington
Jack Maddington
Jack Maddington
izzy