MAUI的SecureStorage是专为安全保存小段敏感数据设计的跨平台API,适用于token、密码等短字符串,不支持大文件或大量文本;需注意异常处理、平台差异及迁移兼容性。
MAUI 的 SecureStorage 是专为安全保存小段敏感数据(如 token、密码、密钥)设计的跨平台 API,它不是用来存大文件或大量文本的。用对了很省心,用错了
容易报错或数据丢失。
基础写入与读取
这是最常用的操作,适用于保存 OAuth 令牌、用户登录态等:
- 写入值:
await SecureStorage.Default.SetAsync("api_token", "ey..."); - 读取值:
string token = await SecureStorage.Default.GetAsync("api_token");
如果没存过,返回null,不是空字符串 - 删除单个键:
SecureStorage.Default.Remove("api_token"); - 清空全部(慎用):
SecureStorage.Default.RemoveAll();
异常处理必须加
SecureStorage 在某些场景下会直接抛异常,比如:设备不支持加密、系统重置过密钥、旧版数据迁移失败。不能只靠 try-catch,还要有兜底逻辑:
- 每次
GetAsync后检查是否为null,再决定走登录流程还是继续使用 - 遇到
InvalidOperationException或CryptographicException时,建议先Remove再重试写入 - 不要在启动页强行读取并阻塞 UI,异步加载 + 空值判断更稳妥
注意平台差异和迁移兼容
从 Xamarin.Forms 升级到 MAUI 的老项目要特别小心:
- MAUI 默认用新存储名:
{包名}.microsoft.maui.essentials.preferences,旧数据存在{包名}.xamarinessentials里 - Android 和 iOS 上可启用
LegacySecureStorage自动读取旧数据(需手动初始化) - Windows 平台用的是
DataProtectionProvider,依赖系统账户和打包方式,未打包应用数据存在securestorage.dat文件中
什么不该存?
SecureStorage 不是万能保险箱:
- ❌ 别存 JSON 字符串、Base64 图片、长文本(性能差,有 8KB 单值限制)
- ❌ 别存文件路径或二进制流(用
FileSystem.AppDataDirectory+ 普通文件操作) - ✅ 适合存:
refresh_token、user_id、device_key这类短且关键的字符串
基本上就这些。用起来不复杂,但容易忽略异常和平台迁移细节。
