Expo应用的安全性和数据保护是开发过程中不可忽视的重要方面。随着移动应用安全威胁的增加,开发者需要采取多层次的安全措施来保护用户数据和隐私。
数据安全策略:
- 敏感数据存储
使用expo-secure-store存储敏感信息:
import * as SecureStore from 'expo-secure-store'; // 保存敏感数据 async function saveToken(token: string) { try { await SecureStore.setItemAsync('userToken', token, { keychainAccessible: SecureStore.WHEN_UNLOCKED, }); } catch (error) { console.error('Failed to save token:', error); } } // 读取敏感数据 async function getToken(): Promise<string | null> { try { return await SecureStore.getItemAsync('userToken'); } catch (error) { console.error('Failed to get token:', error); return null; } } // 删除敏感数据 async function deleteToken() { try { await SecureStore.deleteItemAsync('userToken'); } catch (error) { console.error('Failed to delete token:', error); } }
- 加密通信
使用HTTPS和证书固定:
import * as SecureStore from 'expo-secure-store'; // 配置证书固定 const fetchWithCertificatePinning = async (url: string) => { try { const response = await fetch(url, { headers: { 'Content-Type': 'application/json', }, }); return response.json(); } catch (error) { console.error('Network error:', error); throw error; } };
- API密钥管理
避免在客户端硬编码API密钥:
// 使用环境变量 const API_KEY = process.env.EXPO_PUBLIC_API_KEY; // 或者使用后端代理 const fetchSecureData = async () => { const response = await fetch('https://api.example.com/data', { headers: { 'Authorization': `Bearer ${await getToken()}`, }, }); return response.json(); };
身份验证和授权:
- JWT令牌管理
import * as SecureStore from 'expo-secure-store'; // 保存JWT令牌 async function saveAuthToken(token: string) { await SecureStore.setItemAsync('authToken', token); } // 获取JWT令牌 async function getAuthToken(): Promise<string | null> { return await SecureStore.getItemAsync('authToken'); } // 刷新令牌 async function refreshToken(): Promise<string> { const refreshToken = await SecureStore.getItemAsync('refreshToken'); const response = await fetch('https://api.example.com/refresh', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ refreshToken }), }); const { token } = await response.json(); await saveAuthToken(token); return token; }
- OAuth集成
import * as WebBrowser from 'expo-web-browser'; import * as AuthSession from 'expo-auth-session'; // OAuth认证流程 const discovery = { authorizationEndpoint: 'https://auth.example.com/authorize', tokenEndpoint: 'https://auth.example.com/token', }; async function authenticate() { const request = new AuthSession.AuthRequest({ clientId: 'your-client-id', scopes: ['openid', 'profile'], redirectUri: AuthSession.makeRedirectUri({ scheme: 'myapp', }), }); const result = await request.promptAsync(discovery); if (result.type === 'success') { const { accessToken } = result.params; await saveAuthToken(accessToken); return accessToken; } }
网络安全:
- HTTPS强制
// 确保所有网络请求使用HTTPS const secureFetch = async (url: string, options?: RequestInit) => { if (!url.startsWith('https://')) { throw new Error('Only HTTPS requests are allowed'); } return fetch(url, options); };
- 请求验证
// 验证响应数据 interface ApiResponse<T> { data: T; success: boolean; message?: string; } async function fetchValidatedData<T>(url: string): Promise<T> { const response = await fetch(url); const data: ApiResponse<T> = await response.json(); if (!data.success) { throw new Error(data.message || 'Request failed'); } return data.data; }
- 防止CSRF攻击
// 使用CSRF令牌 async function fetchWithCSRF(url: string, options?: RequestInit) { const csrfToken = await SecureStore.getItemAsync('csrfToken'); return fetch(url, { ...options, headers: { ...options?.headers, 'X-CSRF-Token': csrfToken || '', }, }); }
输入验证:
- 表单验证
// 验证邮箱格式 const validateEmail = (email: string): boolean => { const emailRegex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/; return emailRegex.test(email); }; // 验证密码强度 const validatePassword = (password: string): boolean => { // 至少8个字符,包含大小写字母和数字 const passwordRegex = /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)[a-zA-Z\d]{8,}$/; return passwordRegex.test(password); }; // 验证手机号 const validatePhone = (phone: string): boolean => { const phoneRegex = /^1[3-9]\d{9}$/; return phoneRegex.test(phone); };
- XSS防护
// 转义HTML特殊字符 const escapeHtml = (unsafe: string): string => { return unsafe .replace(/&/g, "&") .replace(/</g, "<") .replace(/>/g, ">") .replace(/"/g, """) .replace(/'/g, "'"); }; // 安全地渲染用户输入 function SafeText({ text }: { text: string }) { const safeText = escapeHtml(text); return <Text>{safeText}</Text>; }
应用安全配置:
- app.json安全配置
{ "expo": { "ios": { "bundleIdentifier": "com.yourcompany.yourapp", "infoPlist": { "NSAppTransportSecurity": { "NSAllowsArbitraryLoads": false } } }, "android": { "package": "com.yourcompany.yourapp", "permissions": [] }, "extra": { "eas": { "projectId": "your-project-id" } } } }
- 环境变量管理
# .env文件 EXPO_PUBLIC_API_URL=https://api.example.com EXPO_PUBLIC_API_KEY=your-api-key
// 使用环境变量 const API_URL = process.env.EXPO_PUBLIC_API_URL; const API_KEY = process.env.EXPO_PUBLIC_API_KEY;
日志和监控:
- 错误追踪
import * as Sentry from '@sentry/react-native'; // 配置Sentry Sentry.init({ dsn: 'your-sentry-dsn', environment: __DEV__ ? 'development' : 'production', }); // 捕获错误 try { // 可能出错的代码 } catch (error) { Sentry.captureException(error); }
- 安全日志
// 记录安全事件 const logSecurityEvent = async (event: string, details: any) => { if (!__DEV__) { await fetch('https://logs.example.com/security', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ event, details, timestamp: Date.now() }), }); } };
最佳实践:
- 最小权限原则:只请求必要的权限
- 数据最小化:只收集和存储必要的数据
- 加密传输:所有网络通信使用HTTPS
- 安全存储:敏感数据使用加密存储
- 定期审计:定期进行安全审计和渗透测试
- 用户教育:教育用户注意安全风险
常见安全威胁:
- 中间人攻击:使用HTTPS和证书固定
- 数据泄露:加密敏感数据
- 逆向工程:使用代码混淆
- 重放攻击:使用时间戳和nonce
- SQL注入:使用参数化查询
通过实施这些安全措施,可以显著提高Expo应用的安全性,保护用户数据和隐私。