iOS/Android指纹-身份验证服务器端

我正试图思考如何实现iOS/Android指纹认证用户

据我所知，触发指纹对话框只是一种额外的安全措施

因此，典型的入职流程如下：

用户下载应用程序

用户注册/登录，并从服务器获取令牌

在某些需要额外安全性的操作上，触发指纹对话框

如果指纹正常-使用步骤2中的令牌执行实际的REST调用

---

我遗漏了什么吗？

请阅读其中一个博客（还有很多其他博客）：

过程必须是：

用户必须已注册指纹，并在Android设置应用程序中选择使用指纹解锁设备

用户下载应用程序

用户通过指纹检查注册/登录

应用程序生成本地令牌并存储在设备上的安全（安全元素）密钥库中

此本地应用令牌已发送到服务器

在某些需要额外安全性的操作上，触发指纹对话框

如果指纹正常，应用程序将访问安全密钥存储以获取令牌。应用程序可以使用此令牌执行步骤4中的REST呼叫

---

对你几乎是对的。因为这两种设备的指纹功能都不允许我们查看或读取“指纹”，而只是将给定的“指纹”与存储的“指纹”进行比较，并返回匹配或不匹配的结果。感谢您的回答，@sandeep。这是否意味着没有从指纹验证返回的令牌或类似的东西需要发送到服务器？不，它不提供任何令牌，如果提供了，将破坏指纹安全的目的。正如你在帖子里说的。这只是一种额外的安全措施。但正如这位用户在回答中所解释的，你可以在你的应用程序中使用额外的安全性。服务器将如何验证此令牌？如果我们不能进行任何身份验证，那么我们如何进行服务器端身份验证？我们如何从指纹的加密对象生成本地令牌？如果我下载应用程序并从phone-A注册怎么办？现在我尝试从phone-B登录，令牌将是相同的。。。？