Keychain Sharing

1、前言

在iOS开发中，我们或多或少会使用Keychain服务来存储用户的账号密码、证书或其他重要的信息。

根据苹果的介绍，iOS设备中的Keychain是一个安全的的存储容器(加密的数据库)，可以用来为不同的App保存账户密码、证书或认证令牌等等。

Keychain是系统级的服务，即使App被卸载掉，之前App保存在Keychain中的项目也不会被清除，除非设备进行刷机。所以特别使用于identifierForVendor+Keychain来代替设备ID的解决方案。另外Keychain也支持App间共享保存在Keychain中的项目，不过共享仅限于同一开发者账号下App之间进行共享。而本文将介绍我对Keychian共享相关的经验。

2、Keychain基本使用

对于Keychain的基本使用我就不再多做介绍，网上的教程很多。可以结合官方的GenericKeychain示例项目进行学习。
由于原生的KeychainAPI使用起来比较复杂，所以我推荐结合第三方框架来简化使用Keychain的流程。
推荐Keychain框架：

• KeychainAccess
• SAMKeychain

另外，附上官方关于Keychain的一些Demo，方便学习：

• GenericKeychain

• KeychainTouchID: Using Touch ID with Keychain and LocalAuthentication

• Accessing Keychain Items with Face ID or Touch ID

3、Keychain共享

3.1、了解Keychain的数据组织形式

首先需要了解，Keychain中的Item都是按照Keychain Access Group(访问组)进行分组存取，不同组之间彼此隔离。如图3-1所示，两个的App：AppOne和AppTwo，AppOne的只有一个访问组为$(teamID).com.example.AppOne，而AppTwo也只有一个访问组$(teamID).com.example.AppTwo，它们属于不同的访问组，所以彼此隔离。

图3-1

3.2、Keychain Access Group规范

访问组的格式为：$(teamID).$(组名)，组名最好以反向DNS的写法形式
例如：
假设团队ID为：S5VDKE9N8V，组名为：com.example.AppOne
则访问组写法为：S5VDKE9N8V.com.example.AppOne

问题：团队ID在哪里看到？

1. 打开https://developer.apple.com
2. 选择Account并登陆账号
3. 选择Membership标签查看账号信息，如图3-2，其中的Team ID就是团队ID
   
   

   图3-2

3.3、App默认的访问组

每个App可以有多个访问组，且默认都有自己的访问组。
在应用分发期间对应用程序进行代码签名之前，Xcode会自动将您的团队ID作为前缀并组合应用的Bundle Identifier(例如: com.example.AppOne)字符串存储为app ID。系统会将此app ID当做应用程序私有访问组的名称并包含在应用程序的访问组数组中。如下形式：

[$(teamID).com.example.AppOne]

由于应用ID在所有应用中都是唯一的，并且因为应用ID存储在受代码签名保护的entitlement中，因此没有其他应用可以使用它，因此该群组中没有其他应用。与此访问组一起存储的任何keychain items都是AppOne专用的。同样，如果您有第二个应用程序，其Bundle Identifier为com.example.AppTwo，则它自动拥有自己的私有组。

[$(teamID).com.example.AppTwo]

因此，默认情况下，每个应用的keychain items仍与其他应用彼此隔离。如上述的图3-1。

3.3、开启Keychain共享

由于默认情况下，每个应用的keychain items与其他应用彼此隔离，因此如果您希望两个应用程序能够共享钥匙串项目，则可以将两者都添加到同一个Keychain访问组中。通过在每个应用程序的Xcode中启用Keychain Sharing功能，并在每种情况下将一个公共的访问组名添加到钥匙串组列表中来执行此操作。比如使用共同的访问组名：com.example.SharedItems。如图3-3：

图3-3

如上启用AppOne功能后，其应用程序的访问组数组将变为：

[$(teamID).com.example.SharedItems,
 $(teamID).com.example.AppOne]

如果您还将相同的访问组添加到AppTwo，其应用程序的访问组数组将变为：

[$(teamID).com.example.SharedItems,
 $(teamID).com.example.AppTwo]

如此，AppOne和AppTwo将获得重叠区域以共享项目，如图3-4

图3-4

注意：

• AppOne和AppTwo必须属于同一个开发者，否则无法如何都不能共享

• AppOne不用显式地在Keychain Sharing的访问组列表中添加com.example.AppOne，因为即使不开启Keychain Sharing功能，Xcode签名打包之前也是会自动添加，AppTwo也是如此。(每个应用程序都有自己默认的私有访问组)

• 若AppTwo在Keychain Sharing的访问组列表中添加了com.example.AppOne，即使AppOne没有在Xcode中开启Keychain Sharing功能，AppTwo也照样可以读取AppOne使用默认私有组(com.example.AppOne)存储的钥匙串项目，反过来也是一样。因此在Keychain Sharing下没有绝对的私有钥匙串的概念。

• 不要特意去修改entitlements文件中访问组的$(AppIdentifierPrefix)为自己的团队ID，因为Xcode会在签名打包前自动处理

  
  
  

  图3-5

• 另外，使用Keychain必须在真机环境下，在模拟器环境中会出现莫名其妙的问题。

顺便附上自己的KeychainSharing Demo，仅供学习参考。

问：$(AppIdentifierPrefix)是什么？
答：其实$(AppIdentifierPrefix)就是团队ID，比如在注册一个App ID的时候就会发现App ID Prefix就是团队ID，如下图所示

图3-6

4、参考资料

• Sharing Access to Keychain Items Among a Collection of Apps