Android 如何使用智能手机指纹认证或人脸识别验证网站用户？

我想为移动用户（最好是安卓）提供一个使用指纹或面部识别的网站登录方式。这可能吗？如果是，步骤是什么

我发现的大多数信息都与移动应用程序有关——即使是那些有安全限制的应用程序。我对这个方法有点困惑。 起初，我认为我可以将指纹数据存储在某种数据库中，并与安卓设备提供的指纹数据相匹配，就像密码验证一样。经过进一步研究，我发现由于安全原因，这是不允许的

谷歌是否提供了类似的认证形式？ 我对构建android应用程序还不熟悉，但我将非常感谢您的帮助，即使这涉及到为特定网站构建某种移动应用程序（作为最后手段）。 我特别想知道如何在服务器端验证用户？假设我从电话中收到某种响应，例如：

PhoneUser={verified: true, ...}

如果我能传输/存储用户生物特征数据唯一的密钥（在注册期间生成），那该多好。然后我可以将其与手机的响应进行匹配，以验证用户。我听说过一些关于Cryptobjects的事情，这是一个好的解决方案吗？ 如何验证指纹匹配是否属于web应用程序上的用户？

---

我是否跟踪该设备以确保其属于用户（IMEI），或者这对于一个简单的网站来说太大了？

Android的生物识别API的使用方式是：你要求它启动生物识别身份验证，它最终会通过回叫回答自动识别是否成功（即指纹/面部/与设备上登记的任何人匹配的任何东西）或者失败。您也可以要求通过身份验证解锁

加密对象

，如果身份验证成功，这将使以前生成的密钥可用于执行某些加密操作。加密对象是否可以存储在数据库中或生成密钥以验证用户？请注意，您不能真正绑定密钥对特定指纹或特定用户的身份验证。你真正能知道的是用户提供的指纹/面部/任何东西是否与设备上注册的指纹/面部/任何东西匹配。至于数据库部分，我不完全确定你要做什么。你可以在设备上创建一个指纹保护的密钥对，然后结束服务器的公钥。当服务器需要证明用户已验证某个内容时，它会向应用程序发送一些随机数据。应用程序要求用户进行生物特征验证。（续）它临时从密钥对解锁私钥，并允许您对从服务器收到的数据进行签名。然后服务器可以使用相应的公钥验证签名。谢谢。这看起来很有希望。是否有任何链接或文档可以指导我如何创建“指纹保护密钥对”？