Android 使用触摸ID或面部ID而不存储用户生物特征

如果这个话题不适合Stackoverflow，我提前表示歉意（我请版主在适当的地方移动它）。谢谢

我想知道应用程序如何使用触摸ID或面部ID来验证身份，而不将生物特征数据存储到服务器中

无需触摸/面部ID的身份验证（此处过于简化）

用户登录到他们的银行应用程序

发送到服务器进行验证的用户名和密码

根据银行服务器中存储的信息检查用户名和密码

在有效的用户名和密码组合中，将颁发一个令牌用于当前会话

用户允许应用程序使用其触摸/面部ID后

使用触摸/面部ID进行身份验证

用户登录到他们的银行应用程序

他们通过触摸/面部ID进行验证

。。。这里发生了什么？发送到服务器以进行验证的内容是什么

据我了解，生物特征数据存储在手机的安全芯片中，而不是存储在任何服务器上

对于iOS，除了触摸/面部ID包之外，我们还需要使用钥匙链访问。为什么？这里储存了什么

---

谢谢。

它与普通密码的工作原理非常相似，只是安全的第二道防线

例如，您的设备已登录到您的Itunes帐户，该帐户已连接到您的银行帐户。为了采取行动，一旦出现匹配（使用安全芯片），设备将以触摸Id/面部Id的形式请求认证。设备将向苹果发送请求，苹果将向银行发送请求。是的，它可以被愚弄，因为它发生在客户端，但你仍然需要以某种方式登录到你的Itunes帐户，所以这是一个次要的安全线

为了明确说明您实际上并没有使用Touch ID或Face ID登录帐户，您使用设备记住的密码登录。为了获取密码，它会记住您需要触摸ID或面部ID。

典型的流程是：

首次登录：

• 用户使用用户名/密码进行身份验证
• 如果身份验证成功，将询问他们是否要使用TouchID/FaceID
• 如果他们这样做，用户名和密码将存储在钥匙链中，需要生物认证才能访问数据

在后续登录时：

• 应用程序尝试检索存储的用户名/密码，触发生物特征认证
• 应用程序使用存储的用户名和密码向服务器进行身份验证

---

这与您的iTunes帐户无关，请求不会发送到苹果。您可以选择使用iCloud keychain，它可以在您的设备上同步某些密钥链条目，但这不是强制性的，在许多情况下，例如银行应用程序，它们会明确地将这些密钥链条目从iCloud keychain中排除。我指的是您的支付方式（信用卡）中的一个案例已连接到您的iTunes帐户，因为在问题中，他给出了一个银行示例，但它肯定不仅仅绑定到您的iTunes帐户。仅举一个例子，这反映了我们在进行多次测试并在生产中实施后的实际经验。干杯如果主要登录方法是电话/otp而不是电子邮件/密码，该怎么办？otp在几个小时内到期。然后，您可以将生成的令牌存储在具有生物特征要求的钥匙链中，但这仅在令牌具有长期有效性的情况下才可行。如果无法保存持久会话令牌，则每次都需要用户进行身份验证，而生物认证不是有效的用例。