服务端验证客户端的身份：也是通过非对称密钥的方式 ， 客户端生成一对非对称密钥 ， 私钥自己保存好 ， 公钥发送到服务端 。指纹认证通过后客户端使用私钥对请求参数进行签名 ， 然后再发送出去 ， 服务端使用客户端公钥对接收到的数据签名进行验证 ， 如果验证通过 ， 则说明数据没有被篡改 ， 可以处理客户端发起的业务请求 。

开启指纹认证这里以登录为例 ， 来看看如何使用指纹认证来做APP登录 。还是先要注册指纹 ， 具体过程如下图所示：

文章插图

• 5开启指纹：开启指纹登录的时机 ， 一般都是先用别的方式登录了APP ， 然后再开启指纹登录 。但是也有一些例外 ， 用户使用APP时直接使用第三方登录 ， 第三方提供了指纹登录的方式 ， 比如使用Apple Id登录 。上边图中是先用账号密码登录了系统 ， 然后才开启的指纹认证 。
• 12对比系统存在的指纹：指纹数据始终保存在手机本地 ， 不会上传到远程 。目前市面上的手机都是这样做的 ， Android和iOS提供的指纹认证API都只返回true或者false的认证结果 ， 这样可以避免云服务被攻破时导致大规模泄漏的严重后果 ， 最大限度的保护用户生物特征数据的安全 。
• 13指纹验证成功：本地指纹认证通过就代表用户身份验证通过 ， 不管是哪个手指 。早期的操作系统版本中可能能够获得是使用的哪个指纹 ， 但是现在一般都不开放了 ， 只能得知指纹集是否发生了变化（删除或者添加了指纹） ， 此时App可以强制用户退出 ， 再使用其它安全的方式登录 ， 然后再让用户决定是否开启指纹 ， 支付宝就是这样做的 。
• 重放攻击问题：步骤16中的请求可能被人截获 ， 虽然无法解密 ， 但是可以多次发向服务端 ， 造成重放攻击的问题 ， 可以引入一个挑战码来解决这个问题 。步骤8初始化指纹注册请求时服务端可以生成这个挑战码 ， 然后在步骤16中携带这个挑战码 ， 然后在服务端进行验证 。

使用指纹认证下面再来看下使用指纹登录的过程：

文章插图

• 登录时的本机指纹认证和注册时的本机指纹认证方法相同 ， 只不过这次是在用户选择指纹登录时弹出指纹刷取页面 。
• 10签名登录数据：主要是用客户端私钥签名设备的唯一标识和挑战码 ， 在开启指纹认证时指定了必须采用指纹授权的方式才能使用私钥 ， 这样能确保签名是由认证过的用户发起的（准确的说是手机上登录过指纹的所有用户 ， 在开启指纹认证时已经提示用户所有录入的指纹都将可以用来登录 ， 同时如果指纹发生变化 ， 会让用户重新确认 ， 所以可以认为他们都是有权限的用户）；服务端如果验证签名通过 ， 则代表数据在传输过程中没有被篡改 ， 登录是在可信的客户端发起的；前后端的认证结果结合起来就代表登录是由认证过的用户发起的 。
• 在开启指纹阶段 ， 已经将设备唯一标识、客户端公钥绑定到了用户记录 ， 所以签名验证通过后 ， 就可以生成当前用户的登录Token ， 并在后续的客户端与服务端的一般交互中使用这个Token 。在关键的交互 ， 比如支付中 ， 还是要使用指纹认证这种安全性更高的方式 。
  • 上一页
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 下一页

  
  

  • 企业怎样有效利用抖音进行营销？
  • 速卖通灵犀推荐使用技巧，怎样容易出单？
  • 一日三餐要有“讲究”，怎样安排高考“食谱”？
  • 50亿年后太阳毁灭世界！地球命运将会怎样？有些行星消失，人类将何去何从？
  • 雀巢妈妈孕妇奶粉怎样
  • 钢铁是怎样炼成有哪些好句子 钢铁是怎样炼成的好句赏析大全
  • 如何致富赚钱怎样才能致富 赚钱如何致富
  • 九价疫苗怎么辨别真伪 支付宝九价疫苗预约是真的吗
  • 扁担实木 扁担房子风水怎样
  • 冬天的红色大衣要怎样穿搭？

  特别声明：本站内容均来自网友提供或互联网，仅供参考，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。