[G1-Sync] Manual knowledge update

2026-05-09 21:08:02 +09:00
parent f0befc887a
commit 93ec7e9056
363 changed files with 68333 additions and 64 deletions
@@ -0,0 +1,119 @@
+---
+id: ios-keychain-storage
+title: iOS Keychain — 비밀 저장 표준
+category: Coding
+status: draft
+source_trust_level: B
+verification_status: conceptual
+created_at: 2026-05-09
+updated_at: 2026-05-09
+tags: [ios, keychain, security, vibe-coding]
+tech_stack: { language: "Swift / Security framework", applicable_to: ["iOS", "macOS"] }
+applied_in: []
+aliases: [SecItem, KeychainAccess, biometric, AccessControl]
+---
+
+# iOS Keychain — 비밀 저장
+
+> Token / password 는 **UserDefaults 절대 X**. Keychain 만이 답. iOS 가 디바이스 암호화 + biometric gate 제공. 단 **API 가 까다로워** wrapper 라이브러리 권장.
+
+## 📖 핵심 개념
+- Keychain Services (Security.framework) C API. SecItemAdd/Update/Copy/Delete.
+- Keychain access group: 같은 팀의 여러 앱이 공유 가능.
+- AccessControl: biometric / passcode 요구.
+- iCloud Keychain: 사용자 계정 동기.
+
+## 💻 코드 패턴
+
+### KeychainAccess 라이브러리
+```swift
+import KeychainAccess
+
+let keychain = Keychain(service: "com.example.app")
+
+// 저장
+try? keychain.set("token-123", key: "access_token")
+
+// 읽기
+let token = try? keychain.get("access_token")
+
+// 삭제
+try? keychain.remove("access_token")
+```
+
+### Biometric (Face ID / Touch ID) gated
+```swift
+let secureKeychain = Keychain(service: "com.example.app")
+    .accessibility(.whenPasscodeSetThisDeviceOnly, authenticationPolicy: .biometryCurrentSet)
+
+try? secureKeychain
+    .authenticationPrompt("로그인 토큰 접근")
+    .set("token-123", key: "biometric_token")
+
+// 읽을 때 자동으로 Face ID 프롬프트
+let token = try secureKeychain.get("biometric_token")
+```
+
+### 직접 SecItem (의존성 X)
+```swift
+func saveToKeychain(_ value: String, key: String) -> Bool {
+    let data = Data(value.utf8)
+    let query: [String: Any] = [
+        kSecClass as String: kSecClassGenericPassword,
+        kSecAttrAccount as String: key,
+        kSecAttrService as String: "com.example.app",
+        kSecValueData as String: data,
+        kSecAttrAccessible as String: kSecAttrAccessibleAfterFirstUnlock,
+    ]
+    SecItemDelete(query as CFDictionary) // 기존 제거
+    let status = SecItemAdd(query as CFDictionary, nil)
+    return status == errSecSuccess
+}
+
+func readKeychain(_ key: String) -> String? {
+    let query: [String: Any] = [
+        kSecClass as String: kSecClassGenericPassword,
+        kSecAttrAccount as String: key,
+        kSecAttrService as String: "com.example.app",
+        kSecReturnData as String: true,
+        kSecMatchLimit as String: kSecMatchLimitOne,
+    ]
+    var item: CFTypeRef?
+    guard SecItemCopyMatching(query as CFDictionary, &item) == errSecSuccess,
+          let data = item as? Data else { return nil }
+    return String(data: data, encoding: .utf8)
+}
+```
+
+### Accessibility 옵션
+- `.whenUnlocked`: 잠금 해제 후만.
+- `.afterFirstUnlock`: 첫 잠금 해제 후 (재부팅 후 첫 1회만 잠김).
+- `.whenPasscodeSetThisDeviceOnly`: passcode 설정 + 디바이스 한정 (백업 안 됨).
+- `.whenUnlockedThisDeviceOnly`: 잠금 해제 + 디바이스 한정.
+
+## 🤔 의사결정 기준
+| 데이터 | 저장 |
+|---|---|
+| Auth token (access/refresh) | Keychain — afterFirstUnlock |
+| 사용자 비밀번호 (앱 내) | Keychain — whenPasscodeSet + biometric |
+| 결제 정보 | Apple Pay (Keychain X) |
+| OAuth client secret | ❌ 배포 binary 에 박지 마라. PKCE 사용. |
+| 로컬 설정 (theme, preference) | UserDefaults |
+| 큰 데이터 (이미지, document) | Files / Core Data |
+
+## ❌ 안티패턴
+- **UserDefaults 에 token**: plain text, 백업 노출.
+- **NSData 그대로 print log**: 비밀 출력.
+- **Keychain access group 미설정 + 같은 팀 다른 앱 공유 기대**: 안 됨.
+- **biometric 인증 결과 캐시 + 영구 사용**: 사용자 의도와 다름. 매 민감 작업마다 요청.
+- **상수 값을 keychain 에 저장 + 매번 읽기**: 성능. 메모리 캐시 + invalidation.
+- **에러 무시 (try?)**: 저장 실패 silent. 적절 처리.
+
+## 🤖 LLM 활용 힌트
+- "비밀 = Keychain. UserDefaults 에 절대 X" 강제.
+- KeychainAccess 라이브러리 권장.
+- Biometric 은 진짜 민감 작업만.
+
+## 🔗 관련 문서
+- [[Web_JWT_Patterns]]
+- [[Security_Secrets_Management]]