我正在设计一个 android 应用程序,我可以在其中以多种方式登录:密码、pin 码、图案、指纹..
虽然密码登录实现很容易,但服务器将检查密码,验证用户身份并管理登录会话。
说到pin码登录,似乎很复杂。据我所知,pin码是某种“本地身份验证”,“检查过程”发生在设备内部,或者android系统中。如果应用程序没有向服务器发送任何凭据,即使“本机身份验证”成功,应用程序如何登录服务器?
显然,我不想要将密码/模式映射到服务器中的某个“密码”的解决方案,因为这与密码登录没有什么不同。
另一种解决方案是在设备上存储一些凭据(令牌、密码、证书),并在“本机身份验证”后转发到服务器。但我认为这是不安全的。
那么,应用程序如何将这些“本地身份验证”(pin 码、图案、指纹)与远程服务器连接起来,以得到服务器的信任?
谢谢。
补充:关于指纹登录,我参考了FIDO UAF。这个解决方案解决了我的问题:经过“原生认证”后,fido客户端会向服务器发送一些“断言数据”,服务器可以验证fido客户端针对这些数据,并接受断言。