private static final String KEYSTORE_PROVIDER = "AndroidKeyStore";
private static final String AES_MODE = "AES/GCM/NoPadding";
private static final String KEY_ALIAS = "MyNiceKey";

加载默认的AndroidKeyStore：

KeyStore keyStore = KeyStore.getInstance(KEYSTORE_PROVIDER);
keyStore.load(null);

在KeyStore中生成AES密钥，在android的最新版本中，它是硬件支持的密钥库；这意味着很难从中提取密钥的字节：

if (!keyStore.containsAlias(KEY_ALIAS)) {
    KeyGenerator keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES,KEYSTORE_PROVIDER);
    keyGenerator.init(new KeyGenParameterSpec.Builder(KEY_ALIAS,KeyProperties.PURPOSE_ENCRYPT | KeyProperties.PURPOSE_DECRYPT)
            .setBlockModes(KeyProperties.BLOCK_MODE_GCM)                   
            .setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
            .setRandomizedEncryptionRequired(false) 
            .build());
    keyGenerator.generateKey();
}

无论如何，您都应该使用.setRandomizedEncryptionRequired（true）。没有必要设置错误的协议。否则，如果您只需要加密几个字节（您的API密钥），则可以创建一个非对称的公共/私有密钥，并使用RSA对其进行加密，这样您甚至不需要提供IV。

话虽如此，当您从KeyStore获取密钥时：

 public static SecretKey getKeyStoreSecretKeyEntry(final String entryAlias)
            throws GeneralSecurityException,IOException {
        return ((KeyStore.SecretKeyEntry) getKeyStore().getEntry(entryAlias,null)).getSecretKey();
    }

返回的SecretKey不包含密钥材料（密钥的实际字节），而仅包含其引用。因此，您可以在Cipher旁边自由使用它来加密和解密所需的内容。在任何情况下，如果您使用API​​密钥直接向您的服务发出http请求，API密钥都会被暴露出来。最好的方法是使用Google Firebase之类的服务器

P.s。 Google提供了一个非常简单的库，可为您节省时间和头痛： https://developer.android.com/jetpack/androidx/releases/security

https://developer.android.com/topic/security/data

结论：您在android Key Store中生成的密钥是用户的属性，应将其用于保护用户的私人数据。因此，使用用户密钥加密API密钥（这是开发人员的私有数据）不是一个好习惯。使用服务器来保护API密钥。