首先,问题不在于如何使用最近在 Android M 中引入的指纹扫描 API。我的问题是开发人员应该遵循什么样的设计方法来将 API 集成到现有的安全措施之上(基于密码/联合等)。
所以我有一个生产中的应用程序,它有一个 API,它接受用户名和密码(通过 HTTPS)并为用户生成一个访问令牌。访问令牌是长期存在的,用于生成非常短暂的会话令牌。用户必须使用此 API 对自己进行身份验证,随后对后端服务的访问将使用生成的会话令牌进行身份验证。
现在随着指纹扫描 API 的出现,我如何处理用户身份验证。请记住,我需要在某个时候生成会话令牌。那么我遵循什么样的用例设计呢?如果用户必须在应用程序安装后使用用户名/密码方法至少登录一次。成功验证后,用户名和密码以加密方式永久保留,进而受指纹验证保护(这就像 2如果您以这种方式考虑,则进行级别身份验证)。
任何在他们的应用程序中遇到类似用例的人有什么更好的建议吗?
相关问题 - 在某处阅读,密钥库将密钥存储在任何特定应用程序进程之外。如果另一个应用程序以某种方式获取了我用来将密钥保存在商店中的密钥别名,它是否有可能读取密钥值?