如何通过 SecureStorage API 实现敏感数据的加密存储？

你是不是也在想——“鸿蒙这么火，我能不能学会？”
答案是：当然可以！
这个专栏专为零基础小白设计，不需要编程基础，也不需要懂原理、背术语。我们会用最通俗易懂的语言、最贴近生活的案例，手把手带你从安装开发工具开始，一步步学会开发自己的鸿蒙应用。
不管你是学生、上班族、打算转行，还是单纯对技术感兴趣，只要你愿意花一点时间，就能在这里搞懂鸿蒙开发，并做出属于自己的App！
📌 关注本专栏《零基础学鸿蒙开发》，一起变强！
每一节内容我都会持续更新，配图+代码+解释全都有，欢迎点个关注，不走丢，我是小白酷爱学习，我们一起上路 🚀

前言

在现代应用中，保护用户的 敏感数据（如密码、令牌、信用卡信息等）是至关重要的。为了避免数据泄露，开发者需要使用 加密存储 来确保敏感信息的安全性。鸿蒙系统提供了强大的 SecureStorage API，帮助开发者高效地实现 敏感数据的加密存储。

SecureStorage API 提供了一种安全存储敏感数据的方法，它可以将数据加密后存储在设备本地。此 API 支持 异步 和 同步 数据读写、加密 Key 管理以及与账号体系/权限系统的联动。

本文将介绍如何使用 SecureStorage API 实现敏感数据的加密存储，包括 加密 Key 生成与生命周期管理、数据读写操作、与账号体系/权限系统联动 和 防反编译与数据篡改方案 等。

1. 加密 Key 生成与生命周期管理

加密 Key 是加密存储中至关重要的部分，它用于加密和解密敏感数据。加密 Key 的生成和生命周期管理需要遵循 安全性 和 隐私保护 的最佳实践。

1.1 加密 Key 生成

在鸿蒙系统中，SecureStorage API 可以使用 硬件加速 或 软件加密算法 生成加密 Key。通常，采用 对称加密算法（如 AES）来加密数据，这要求加密和解密使用相同的 Key。

import ohos.security.keystore.KeyStore;

class KeyManagement {
    private keyStore: KeyStore;

    constructor() {
        this.keyStore = new KeyStore();
    }

    // 生成加密Key
    public generateEncryptionKey() {
        const keyAlias = "MyEncryptionKey";
        try {
            const key = this.keyStore.generateKeyPair(keyAlias, "AES", 256); // 生成AES加密Key，长度256位
            console.log("Encryption key generated successfully.");
            return key;
        } catch (error) {
            console.error("Error generating encryption key: ", error);
        }
    }
}

在这个例子中，我们使用 KeyStore 来生成一个 256 位的 AES 加密 Key。生成的 Key 会被 硬件加密模块 存储，确保 安全性 和 保护。

1.2 加密 Key 生命周期管理

加密 Key 需要有效管理，以确保 防泄漏。开发者可以选择通过 KeyStore 保管加密 Key，系统会自动处理 Key 的生成、存储、销毁等生命周期管理。

• Key 存储：加密 Key 应保存在 硬件安全模块（HSM）或 安全容器 中，避免被提取。
• Key 销毁：当加密 Key 不再需要时，应该彻底销毁 Key，避免被恢复。

// 销毁加密Key
public deleteEncryptionKey() {
    const keyAlias = "MyEncryptionKey";
    try {
        this.keyStore.deleteKey(keyAlias);
        console.log("Encryption key deleted successfully.");
    } catch (error) {
        console.error("Error deleting encryption key: ", error);
    }
}

在这个例子中，我们通过 deleteKey 方法销毁了加密 Key，确保 Key 不会泄露。

2. 数据写入与读取（异步 & 同步）

通过 SecureStorage API，我们可以实现数据的 加密写入 和 解密读取。鸿蒙系统提供了 异步 和 同步 两种方式来进行数据的读写。根据需要选择适合的方式，能够更好地提高性能和响应速度。

2.1 数据写入（加密）

我们可以使用 SecureStorage 来加密数据并将其存储。加密后的数据将保存在设备的安全存储区域，只有通过正确的 加密 Key 才能解密。

2.1.1 异步写入

import ohos.security.storage.SecureStorage;

class SecureDataHelper {
    private secureStorage: SecureStorage;

    constructor() {
        this.secureStorage = new SecureStorage();
    }

    // 异步写入加密数据
    public async writeEncryptedData(key: string, data: string) {
        try {
            await this.secureStorage.put(key, data, "AES");
            console.log("Data encrypted and stored successfully.");
        } catch (error) {
            console.error("Error writing encrypted data: ", error);
        }
    }
}

在这个例子中，数据通过 put 方法使用 AES 加密算法 加密后存储。加密密钥由 SecureStorage 自动管理。

2.1.2 同步写入

如果应用对 性能 有较高要求，也可以使用同步的方式进行写入操作：

public writeEncryptedDataSync(key: string, data: string) {
    try {
        this.secureStorage.putSync(key, data, "AES");
        console.log("Data encrypted and stored successfully.");
    } catch (error) {
        console.error("Error writing encrypted data: ", error);
    }
}

2.2 数据读取（解密）

读取数据时，我们需要使用正确的 加密 Key 来解密数据。鸿蒙的 SecureStorage API 提供了简单的读取接口。

2.2.1 异步读取

// 异步读取加密数据
public async readEncryptedData(key: string): Promise<string | null> {
    try {
        const decryptedData = await this.secureStorage.get(key);
        console.log("Decrypted data:", decryptedData);
        return decryptedData;
    } catch (error) {
        console.error("Error reading encrypted data: ", error);
        return null;
    }
}

2.2.2 同步读取

对于不需要异步处理的简单场景，可以使用同步读取方法：

// 同步读取加密数据
public readEncryptedDataSync(key: string): string | null {
    try {
        const decryptedData = this.secureStorage.getSync(key);
        console.log("Decrypted data:", decryptedData);
        return decryptedData;
    } catch (error) {
        console.error("Error reading encrypted data: ", error);
        return null;
    }
}

3. 与账号体系/权限系统联动

SecureStorage API 可以与 账号体系 或 权限系统 联动，确保敏感数据仅对授权的用户可用。鸿蒙系统支持 权限声明 和 权限校验，可以通过相关 API 管理数据的访问权限。

3.1 权限声明

在 manifest 文件中声明权限，确保数据访问只限于授权用户：

<manifest xmlns:android="http://schemas.android.com/apk/res/android">
    <application>
        <uses-permission android:name="ohos.permission.STORAGE" />
        <uses-permission android:name="ohos.permission.SECURE_STORAGE" />
    </application>
</manifest>

3.2 权限检查

在进行敏感数据读取时，先进行权限校验，确保用户具有 访问权限。

import ohos.security.permissions.PermissionChecker;

class PermissionHelper {
    public checkStoragePermission() {
        const result = PermissionChecker.checkSelfPermission("ohos.permission.STORAGE");
        if (result === PermissionChecker.PERMISSION_GRANTED) {
            console.log("Permission granted to access storage.");
        } else {
            console.log("Permission denied to access storage.");
        }
    }
}

通过权限校验，确保敏感数据只能被授权的应用或用户访问。

4. 防反编译与数据篡改方案

保护 敏感数据 免受反编译和数据篡改攻击是非常重要的。以下是几种常见的防护策略：

4.1 数据加密与代码混淆

• 加密存储：确保敏感数据在存储时使用 强加密算法（如 AES、RSA）加密。
• 代码混淆：通过 代码混淆 工具（如 ProGuard）来防止应用反编译，保护加密 Key 和敏感数据。

4.2 签名与认证

• 数字签名：为数据进行 签名，防止数据被篡改。通过 私钥 签名数据，确保数据的完整性和来源。
• 双因素认证：结合用户身份验证和设备认证，确保敏感数据仅在合法设备上访问。

4.3 防止 Key 泄露

确保 加密 Key 不被泄露或提取，可以使用 硬件安全模块（HSM）或 KeyStore 来安全地存储 Key，并使用 生物识别 或 多因素认证 来进一步加强安全性。

5. 小结

通过 SecureStorage API，我们可以在鸿蒙系统中实现 敏感数据的加密存储，保护用户的隐私信息。通过合理管理 加密 Key 的生成和生命周期、优化数据的 异步和同步读写，以及与 账号体系/权限系统 的联动，开发者可以确保数据的 安全性 和 完整性。

同时，通过 防反编译、数据篡改保护 和 权限控制，可以增强系统的 抗攻击性，确保即使在恶意攻击下，用户数据也能得到最大程度的保护。

❤️ 如果本文帮到了你…

• 请点个赞，让我知道你还在坚持阅读技术长文！
• 请收藏本文，因为你以后一定还会用上！
• 如果你在学习过程中遇到bug，请留言，我帮你踩坑！