怎么在SafeW SDK中完成离线缓存密钥的完整集成流程？

功能定位：离线缓存密钥到底解决什么问题

在 SafeW 的语境里，“离线缓存密钥”并不是把私钥明文留在手机闪存，而是把经安全芯片加密后的密钥碎片临时落盘，用于弱网或无网场景下的本地签名。核心关键词“SafeW SDK 离线缓存密钥”出现一次即可：它解决的是断网时仍需签名的刚需，同时兼顾密钥不落明文的合规红线。

与“硬件隔离钱包”相比，离线缓存模式牺牲了一部分“私钥永不出芯片”的极致安全，换来0.3 秒级离线签名体验；与“云端托管”相比，它又把攻击面收敛到本地文件系统，避免服务器侧单点泄露。经验性观察：在地铁、航班、境外弱网三大场景，用户把“离线缓存”开关打开后，交易成功率从约七成提升到接近满载，但代价是需额外管理缓存有效期与碎片回收。

集成前的三条硬约束

1. 芯片能力边界

只有 EAL6+ 及以上等级的 SafeW 硬件芯片才支持“可导出加密碎片”指令；EAL5 老设备在固件层面直接拒绝生成缓存密钥。验证方法：在设置 → 关于 → 安全芯片信息中查看“Encryption Export”字段是否为 Allowed，若显示 Hardware Bound Only，则后续步骤无需继续。

2. 版本与许可证

截至当前的最新版本（2026-04 发布的 v8.4.1）把离线缓存功能打包进“MPC-Bliss 2.0”许可证。若控制台出现 feature_flag: offline_cache=false，需登录 SafeW Console → 项目 → 许可证 → 附加模块，手动开启并同步到设备；否则 SDK 初始化阶段会直接抛 LicenseDeniedException。

3. 合规白名单

企业策略引擎可下发“禁止离线缓存”规则，一旦开启，即使芯片与许可证都满足，本地仍会被强制回退到“必须在线”模式。路径：Console → 策略 → 密钥管理 → 离线缓存 → 选择“禁止”或“仅 Wi-Fi 允许”。若员工设备被策略命中，SDK 日志会打印 PolicyRejected: offline_cache_denied，此时无需排查代码，直接联系管理员调整策略即可。

决策树：什么时候值得打开离线缓存

1. 业务场景是否频繁断网？若否，保持默认在线模式，减少攻击面。
2. 是否已上线企业策略引擎且明确允许离线？若策略禁止，直接放弃。
3. 芯片是否 ≥EAL6 且许可证含 MPC-Bliss 2.0？若否，考虑升级硬件或补许可证。
4. 是否愿意承担缓存过期与碎片回收的运维成本？若否，用“仅白名单地址”方案替代。
5. 若 1–4 全部通过，则进入集成步骤；任一节点为否，即回退到在线签名或硬件隔离。

完整集成步骤（分平台最短路径）

Android / iOS 移动端

1. 安装 SDK：在 build.gradle（Android）或 Package.swift（iOS）引入 safew-sdk:8.4.1，同步后确认 offline-cache 组件被拉取。
2. 初始化配置：

   val cfg = SafeWConfig.Builder()
       .cacheValidityHours(24)      // 碎片最长存活时间
       .encryptionAlgo(AES_256_GCM)
       .requireUserPresence(true)   // 签名前需指纹/人脸
       .build()
   SafeW.init(context, cfg)

3. 生成本地碎片：调用 SafeW.generateOfflineShard(alias=