我正在设计一个Android应用程序,我可以通过多种方式登录:密码,密码,图案,指纹..
虽然密码登录实施很容易,但服务器会检查密码,验证用户身份并管理登录会话。
当进入密码登录时,它似乎很复杂。据我所知,密码是某种"原生身份验证" ,"检查过程& #34;发生在设备或android系统中。 如果应用程序未向服务器发送任何凭据,即使是"本地身份验证"该应用程序如何登录服务器?成功吗
显然,我不想要一个能够将密码/模式映射到密码"密码的解决方案。在服务器中,因为它与密码登录没有什么不同。
另一个解决方案是在设备上存储一些凭据(令牌,密码,证书),然后在"本地身份验证后转发到服务器"但我认为这是不安全的。
那么,应用程序如何将这些"本机身份验证"(密码,模式,指法)与远程服务器连接起来,以便服务器信任?
感谢。
补充:至于指纹登录,我指的是FIDO UAF。这个解决方案处理我的问题:在本地认证"之后,fido客户端将发回一些"断言数据& #34;到服务器,服务器可以根据这些数据验证fido客户端,并接受断言。