iOS/Android指纹-认证服务器端
iOS/Android finger print - authentication server side
我正在思考如何实施 iOS/Android 指纹来验证用户身份。
据我了解,触发指纹对话框只是一种额外的安全措施?
所以典型的入职流程是这样的:
- 用户下载应用。
- 用户 registers/signs 进入,并从服务器取回令牌。
- 在我们需要额外安全性的某些操作中,触发指纹对话框。
- 如果指纹没问题 - 使用第 2 步中的令牌进行实际的 REST 调用。
我是不是漏掉了什么?
请阅读以下博客之一(还有许多其他博客):
http://www.techotopia.com/index.php/An_Android_Fingerprint_Authentication_Tutorial
https://www.survivingwithandroid.com/2016/12/android-fingerprint-authentication-tutorial.html
过程必须是:
- 用户必须已经注册指纹并在 Android 设置应用中选择使用指纹解锁设备。
- 用户下载应用。
- 用户 registers/signs 通过指纹检查
- 应用生成本地令牌并存储在设备上的安全(安全元素)密钥库中
- 此本地应用程序令牌已发送到服务器
- 在我们需要额外安全性的某些操作中,触发指纹对话框。
- 如果指纹正常,应用程序将访问安全密钥库以获取令牌。应用程序可以使用此令牌从步骤 4 进行 REST 调用。
我正在思考如何实施 iOS/Android 指纹来验证用户身份。
据我了解,触发指纹对话框只是一种额外的安全措施?
所以典型的入职流程是这样的:
- 用户下载应用。
- 用户 registers/signs 进入,并从服务器取回令牌。
- 在我们需要额外安全性的某些操作中,触发指纹对话框。
- 如果指纹没问题 - 使用第 2 步中的令牌进行实际的 REST 调用。
我是不是漏掉了什么?
请阅读以下博客之一(还有许多其他博客):
http://www.techotopia.com/index.php/An_Android_Fingerprint_Authentication_Tutorial
https://www.survivingwithandroid.com/2016/12/android-fingerprint-authentication-tutorial.html
过程必须是:
- 用户必须已经注册指纹并在 Android 设置应用中选择使用指纹解锁设备。
- 用户下载应用。
- 用户 registers/signs 通过指纹检查
- 应用生成本地令牌并存储在设备上的安全(安全元素)密钥库中
- 此本地应用程序令牌已发送到服务器
- 在我们需要额外安全性的某些操作中,触发指纹对话框。
- 如果指纹正常,应用程序将访问安全密钥库以获取令牌。应用程序可以使用此令牌从步骤 4 进行 REST 调用。