iOS / Android指纹 - 身份验证服务器端

Question

我正试图围绕如何实施iOS / Android指纹来验证用户。

根据我的理解，触发指纹对话框只是一个额外的安全措施吗？

因此，典型的登机流程将是这样的：

1. 用户下载该应用。
2. 用户注册/登录，并从服务器返回令牌。
3. 在我们需要额外安全性的某些操作上，触发指纹对话框。
4. 如果指纹正常 - 请使用步骤2中的令牌进行实际的REST调用。

我错过了什么吗？

Answer 1

请阅读其中一个博客（还有其他许多博客）：

• http://www.techotopia.com/index.php/An_Android_Fingerprint_Authentication_Tutorial

• https://www.survivingwithandroid.com/2016/12/android-fingerprint-authentication-tutorial.html

流程必须是：

1. 用户必须已注册指纹并在Android设置应用中选择带指纹的解锁设备。
2. 用户下载该应用。
3. 用户使用指纹检查注册/登录
4. 应用程序生成本地令牌并存储在设备上的安全（安全元素）密钥库中
5. 此本地应用令牌发送到服务器
6. 在我们需要额外安全性的某些操作上，触发指纹对话框。
7. 如果指纹没问题，应用程序可以访问安全密钥库来获取令牌。应用程序可以使用此令牌从步骤4执行REST调用。