我们目前有许多Web服务使用OAuth实现来提供安全层。与创建本机移动应用程序的过程一样,我们希望使用设备指纹识别器对用户进行身份验证(可选择回退到指纹识别器不可用的用户名/密码)。
是否有任何以安全方式执行此操作的示例?
目前,我们向用户提出一些凭据,他们向我们提供了用户名/密码,我们将其与我们存储在数据库中的详细信息进行比较,并批准或拒绝该请求。
如果我们再次使用指纹识别器,我们会向用户挑战一些凭据。由于应用程序是原生的,我们可以访问设备指纹识别器。我们获取并验证指纹,并再次批准或拒绝该请求。
从安全角度来看,我面临的问题是所有验证都发生在客户端上,我们(身份提供商)还没有确认任何细节。我的思路是,作为第一方客户,并且沟通渠道得到适当保护(在这种情况下为TLSMA)。它是否正确?我是否忽视了一个基本的安全问题?