3

我试图了解如何在应用程序上实现生物特征身份验证,特别是使用指纹。

据我所知,该 API 仅提供 3 种不同的信息:身份验证失败、身份验证成功和设备中未注册指纹。

我不想从用户的生物特征数据中获取任何信息,但我找不到任何解释如何将用户的生物特征信息与他的登录信息相关联的地方。

到目前为止,我只能想到一种方法来完成这项工作,那就是需要第一次注册,然后才能在以后的登录中使用指纹,其中会发生以下情况:

  • 用户在表单中输入登录数据(例如名称和密码)
  • 使用在服务器端验证登录数据是否正确后信息存储在本地的指纹成功响应

问题是用户的凭据现在很容易受到攻击,因为它存储在本地,虽然我可以使用自己的加密过程,但我担心它不会更安全,因为我仍然需要使用应用程序在本地存储加密算法。加密/解密该信息。

如何将用户的生物特征数据/身份验证成功与他的登录凭据相关联?

4

1 回答 1

1

我认为你在正确的轨道上。在输入登录凭据的初始提示时,您需要做的就是将这些凭据保存在 Android KeyStore(而不是 KeyChain)中。KeyStore 具有用于加密数据的加密选项,因此您不必为此编写代码。然后,在未来,如果用户的生物特征认证,检索 KeyStore,解密并继续。

于 2019-06-10T20:32:53.687 回答