Zamierzam używać protokołu OAuth do pobierania wiadomości i kontaktów z Google. Nie chcę za każdym razem prosić użytkownika o zalogowanie się w celu uzyskania tokena dostępu i sekretu. Z tego, co zrozumiałem, muszę je przechowywać w mojej aplikacji w bazie danych lub SharedPreferences
. Ale martwię się trochę o aspekty bezpieczeństwa. Czytałem, że możesz zaszyfrować i odszyfrować tokeny, ale napastnikowi łatwo jest po prostu zdekompilować twój apk i klasy i uzyskać klucz szyfrowania.
Jaka jest najlepsza metoda bezpiecznego przechowywania tych tokenów w systemie Android?