前言
随着人们对于个人信息安全越来越重视,用户对APP安全要求也越来越高,尤其是金融类APP,很多都已支持指纹&3D登录功能。相较于传统登录方法,指纹&3D面容登录可省去输入账户、密码、验证码等环节,在最大限度地方便用户的同时,也保证了用户信息的私密。那么,如何让自己的APP增加指纹/面容登录功能呢?
只要接入HMS线上快速验证服务(FIDO),即可帮助你的APP实现指纹&3D面容登录功能。
HMS Core FIDO2 是个啥?
Fast Identity Online是一套身份鉴别框架协议。FIDO联盟于2012年7月成立,至2019年5月已达251家,囊括业界领先厂商,技术规范包括UAF和U2F两大系列,并推出FIDO 2.0项目。FIDO联盟成员网址 https://fidoalliance.org/members/
FIDO成员举例
FIDO (Fast Identity Online)规范旨在提供通用、安全、便捷的无密码和多因子线上用户身份验证技术方案。支持应用于用户登录、转账支付等各种需要验证用户身份的场景。FIDO 2(读音:“faìduo兔”或“faìdōu 兔”)规范定义了一个强大的身份验证解决方案。
FIDO2典型的应用场景有如下三种:
- 指纹/3D面容登录;
- 指纹/3D面容转账/支付;
- 双因子认证;
本期我们将介绍第一个应用场景:指纹/3D面容登录。在应用内登录帐号时,不需要用户输密码,只需要验证指纹/3D面容即完成登录,避免密码、撞库等安全风险。
场景演示
下方的Gif图展示FIDO2如何完成指纹/3D面容登录的过程。
HMS Core FIDO2 怎么做到的?
FIDO规范定义了一套在线身份认证的技术架构。其中,除了应用和应用服务器以外,还包括3个组件:FIDO认证器、FIDO客户端和FIDO服务器。
-
FIDO认证器:用来进行本地认证的机制或设备,分为平台认证器和漫游认证器。在面向最终用户时,认证器通常被称为安全密钥。
平台认证器:集成在使用FIDO的设备上的认证器,比如手机或笔记本电脑上基于指纹识别硬件的认证器。 -
漫游认证器:游离于使用FIDO的设备,通过蓝牙、NFC或USB连接的认证器,比如形状类似于U盾或动态令牌的认证器。
-
FIDO客户端:集成在平台中(如Windows、MacOS和HMS Core)中,提供SDK给应用集成;或集成在浏览器中(如Chrome、Firefox和华为浏览器),提供JavaScript API给服务集成。FIDO客户端是应用调用FIDO服务器和FIDO认证器完成认证的桥梁。
-
FIDO服务器:在应用服务器需要发起FIDO认证时,生成符合FIDO规范的认证请求,发送给应用服务器;并在FIDO认证器完成本地认证后,接收应用服务器返回的FIDO认证响应,并进行较验。
FIDO规范定义了两个主要流程:注册和认证。从用户登录这个实际应用场景来说,注册流程对应开通指纹/3D面容登录的过程,认证流程对应使用指纹/3D面容完成登录的过程。
在注册流程中,FIDO认证器产生一对用户公私钥对作为认证凭据,私钥存储在FIDO认证器中,公钥发送给FIDO服务器存储。同时,FIDO服务器建立用户和认证凭据的关联关系,在认证流程中使用。
在认证流程中,FIDO认证器使用用户私钥对挑战值进行签名,FIDO服务器使用用户公钥验证签名,验证通过即认为是合法用户。
如何集成华为HMS Core FIDO2?
开发前准备
FIDO2的集成准备,超级简单,除了接入HMS SDK必备的agc、maven和混淆等配置之外,只需加上FIDO2的编译依赖即可,坐标如下:
implementation 'com.huawei.hms:fido-fido2:5.0.0.301'
开发(表格性的,错误码、返回值、编译依赖参考ML)
FIDO2分成两个操作,注册和认证,处理流程类似。关键过程代码如下:
- 初始化一个Fido2Client实例
Fido2Client fido2Client = Fido2.getFido2Client(activity); - 调用Fido2Client.getRegistrationIntent()发起注册。或调用Fido2Client.getAuthenticationIntent()发起认证。从FIDO服务器获取挑战值及相关策略,并组装请求消息。(这里仅提供FIDO客户端的API,涉及与FIDO服务器的交互,请参考相关规范,并联系FIDO服务器供应商获取相关接口说明。)然后调用Fido2Client.getRegistrationIntent()发起注册。或调用Fido2Client.getAuthenticationIntent()发起认证。
在回调中调用Fido2Intent.launchFido2Activity(),启动注册(requestCode为Fido2Client.REGISTRATION_REQUEST)或认证(requestCode为Fido2Client.AUTHENTICATION_REQUEST)。该回调在主线程中执行。
fido2Client.getRegistrationIntent(registrationRequest, registrationOptions, new Fido2IntentCallback() {
@Override
public void onSuccess(Fido2Intent fido2Intent) {
fido2Intent.launchFido2Activity(XXXActivity.this, Fido2Client.REGISTRATION_REQUEST);
}
@Override
public void onFailure(int errorCode, CharSequence errString) {
Log.e("errorCode: "+ errorCode + ", errorMsg: " + errString);
}
});
- 在回调Activity.onActivityResult()中,调用getFido2RegistrationResponse()或Fido2Client.getFido2AuthenticationResponse()获取注册或认证的结果。
Fido2RegistrationResponse fido2RegistrationResponse = fido2Client.getFido2RegistrationResponse(data)
- 把注册或认证的结果发送给FIDO服务器进行验证。
(这里仅提供FIDO客户端的API,涉及与FIDO服务器的交互,请参考相关规范,并联系FIDO服务器供应商获取相关接口说明,代码略)
更多信息
华为开发者官网上也有相应的演示demo,示例代码和开发文档。
Github演示Demo和示例代码:
https://github.com/HMS-Core/hms-FIDO-demo-java
华为FIDO2慕课视频:
https://developer.huawei.com/consumer/cn/training/detail/101583008688294169
开发指南:
https://developer.huawei.com/consumer/cn/doc/development/HMSCore-Guides-V5/introduction-0000001051069988-V5
API参考:
https://developer.huawei.com/consumer/cn/doc/development/HMSCore-References-V5/fido2overview-0000001050176660-V5
后期预告
基于线上快速身份验证服务,下期聊聊FIDO2定制开发能力,认证器选择策略、UI界面定制,后面还会有实战经验分享,大家可以持续关注~
原文链接:https://developer.huawei.com/consumer/cn/forum/topicview?fid=18&tid=0201315130192110308
原作者:别吃草莓