flutter如何安全存储密钥

在Flutter中安全存储密钥，推荐以下方法：

1. flutter_secure_storage（推荐）

使用Keychain（iOS）和KeyStore（Android）进行安全存储：

import 'package:flutter_secure_storage/flutter_secure_storage.dart';

class SecureStorage {
  static final _storage = FlutterSecureStorage();
  
  // 存储密钥
  static Future<void> storeKey(String key, String value) async {
    await _storage.write(key: key, value: value);
  }
  
  // 读取密钥
  static Future<String?> getKey(String key) async {
    return await _storage.read(key: key);
  }
  
  // 删除密钥
  static Future<void> deleteKey(String key) async {
    await _storage.delete(key: key);
  }
}

// 使用示例
await SecureStorage.storeKey('api_key', 'your_secret_key');
String? apiKey = await SecureStorage.getKey('api_key');

2. 加密本地存储

结合加密算法和本地存储：

import 'package:encrypt/encrypt.dart';
import 'package:shared_preferences/shared_preferences.dart';

class EncryptedStorage {
  static final _key = Key.fromUtf8('your-32-character-encryption-key');
  static final _iv = IV.fromLength(16);
  static final _encrypter = Encrypter(AES(_key));
  
  static Future<void> storeEncrypted(String key, String value) async {
    final encrypted = _encrypter.encrypt(value, iv: _iv);
    final prefs = await SharedPreferences.getInstance();
    await prefs.setString(key, encrypted.base64);
  }
  
  static Future<String?> getDecrypted(String key) async {
    final prefs = await SharedPreferences.getInstance();
    final encryptedValue = prefs.getString(key);
    if (encryptedValue != null) {
      final encrypted = Encrypted.fromBase64(encryptedValue);
      return _encrypter.decrypt(encrypted, iv: _iv);
    }
    return null;
  }
}

3. 最佳实践建议

• flutter_secure_storage 是首选方案，利用平台原生安全机制
• 避免在代码中硬编码密钥
• 对于高度敏感数据，考虑服务端存储
• 定期轮换密钥
• 在Android中配置android:usesCleartextTraffic=“false”

安全注意事项

• iOS：确保启用Keychain共享
• Android：minSdkVersion至少18以获得最佳安全性
• 始终处理存储失败的情况
• 考虑生物识别认证作为额外保护层

flutter_secure_storage提供了最佳的平台原生安全保护，是存储敏感信息的首选方案。