我正在努力思考如何实现 iOS/Android 指纹来验证用户身份。
据我了解,触发指纹对话框只是一种额外的安全措施?
所以一个典型的入职流程是这样的:
- 用户下载该应用。
- 用户注册/登录,并从服务器取回 token 。
- 对于我们需要额外安全性的某些操作,触发指纹对话框。
- 如果指纹没问题 - 使用第 2 步中的 token 进行实际的 REST 调用。
我错过了什么吗?
最佳答案
请阅读以下博客之一(还有许多其他博客):
http://www.techotopia.com/index.php/An_Android_Fingerprint_Authentication_Tutorial
https://www.survivingwithandroid.com/2016/12/android-fingerprint-authentication-tutorial.html
过程必须是:
- 用户必须已经注册指纹并在 Android 设置应用中选择使用指纹解锁设备。
- 用户下载该应用。
- 用户通过指纹验证注册/登录
- 应用程序生成本地 token 并存储在设备上的安全(安全元素) keystore 中
- 这个本地应用 token 被发送到服务器
- 对于我们需要额外安全性的某些操作,触发指纹对话框。
- 如果指纹没问题,应用程序将访问安全 keystore 以获取 token 。应用程序可以使用此 token 从第 4 步进行 REST 调用。
关于android - iOS/Android 指纹认证服务器端,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44947942/