Android 使用触摸ID或面部ID而不存储用户生物特征
如果这个话题不适合Stackoverflow,我提前表示歉意(我请版主在适当的地方移动它)。谢谢 我想知道应用程序如何使用触摸ID或面部ID来验证身份,而不将生物特征数据存储到服务器中 无需触摸/面部ID的身份验证(此处过于简化)Android 使用触摸ID或面部ID而不存储用户生物特征,android,ios,touch-id,face-id,Android,Ios,Touch Id,Face Id,如果这个话题不适合Stackoverflow,我提前表示歉意(我请版主在适当的地方移动它)。谢谢 我想知道应用程序如何使用触摸ID或面部ID来验证身份,而不将生物特征数据存储到服务器中 无需触摸/面部ID的身份验证(此处过于简化) 用户登录到他们的银行应用程序 发送到服务器进行验证的用户名和密码 根据银行服务器中存储的信息检查用户名和密码 在有效的用户名和密码组合中,将颁发一个令牌用于当前会话 用户允许应用程序使用其触摸/面部ID后 使用触摸/面部ID进行身份验证 用户登录到他们的银行应用程序
谢谢。它与普通密码的工作原理非常相似,只是安全的第二道防线 例如,您的设备已登录到您的Itunes帐户,该帐户已连接到您的银行帐户。为了采取行动,一旦出现匹配(使用安全芯片),设备将以触摸Id/面部Id的形式请求认证。设备将向苹果发送请求,苹果将向银行发送请求。是的,它可以被愚弄,因为它发生在客户端,但你仍然需要以某种方式登录到你的Itunes帐户,所以这是一个次要的安全线 为了明确说明您实际上并没有使用Touch ID或Face ID登录帐户,您使用设备记住的密码登录。为了获取密码,它会记住您需要触摸ID或面部ID。典型的流程是: 首次登录:
- 用户使用用户名/密码进行身份验证
- 如果身份验证成功,将询问他们是否要使用TouchID/FaceID
- 如果他们这样做,用户名和密码将存储在钥匙链中,需要生物认证才能访问数据
- 应用程序尝试检索存储的用户名/密码,触发生物特征认证
- 应用程序使用存储的用户名和密码向服务器进行身份验证