Android7.0 LockSettingsService——StrongAuth機制介紹

Android6.0之后支持了指紋解鎖唱较,但是指紋本身的安全性是不如密碼的,所以Android系統(tǒng)加入了StrongAuth機制霉旗,要求用戶在某些情況下必須用密碼解鎖(例如手機重啟后)痴奏,之后才能用指紋解鎖。

StrongAuth的相關定義

鎖屏密碼安全涉及到兩個比較重要的類厌秒,LockPatternUtils和LockSettingsService读拆,StrongAuth的相關常量定義和接口也被定義在這兩個類里面,此外鸵闪,還有一個專門的類LockSettingsStrongAuth.java用于處理一些核心事件
LockPatternUtils.java中定義了一個靜態(tài)內(nèi)部類StrongAuthTracker檐晕,里面定義了一些非常重要的常量

        /**
         * Strong authentication is not required.
         */
        public static final int STRONG_AUTH_NOT_REQUIRED = 0x0;

        /**
         * Strong authentication is required because the user has not authenticated since boot.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_BOOT = 0x1;

        /**
         * Strong authentication is required because a device admin has requested it.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_DPM_LOCK_NOW = 0x2;

        /**
         * Some authentication is required because the user has temporarily disabled trust.
         */
        public static final int SOME_AUTH_REQUIRED_AFTER_USER_REQUEST = 0x4;

        /**
         * Strong authentication is required because the user has been locked out after too many
         * attempts.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_LOCKOUT = 0x8;

        /**
         * Strong auth flags that do not prevent fingerprint from being accepted as auth.
         *
         * If any other flags are set, fingerprint is disabled.
         */
        private static final int ALLOWING_FINGERPRINT = STRONG_AUTH_NOT_REQUIRED
                | SOME_AUTH_REQUIRED_AFTER_USER_REQUEST;

根據(jù)這些常量的定義,不難看到以下的幾種情況是無法使用指紋解鎖的

  • 系統(tǒng)重啟 STRONG_AUTH_REQUIRED_AFTER_BOOT
  • 設備管理器鎖定 STRONG_AUTH_REQUIRED_AFTER_DPM_LOCK_NOW
  • 錯誤次數(shù)過多 STRONG_AUTH_REQUIRED_AFTER_LOCKOUT

除此之外,其他情況下都是可以使用指紋解鎖的
同時我們也可以發(fā)現(xiàn)辟灰,這些常量是16進制的int類型个榕,會和ALLOWING_FINGERPRINT 進行位運算來判斷當前是否能使用指紋解鎖,這一點從StrongAuthTracker的對外接口就可以看出

        /**
         * @return true if unlocking with fingerprint alone is allowed for {@param userId} by the
         * current strong authentication requirements.
         */
        public boolean isFingerprintAllowedForUser(int userId) {
            return (getStrongAuthForUser(userId) & ~ALLOWING_FINGERPRINT) == 0;
        }

鎖屏繼承了這個類并加以擴展芥喇,用來判斷當前系統(tǒng)是否允許指紋解鎖

    public class StrongAuthTracker extends LockPatternUtils.StrongAuthTracker {
        public StrongAuthTracker(Context context) {
            super(context);
        }

        public boolean isUnlockingWithFingerprintAllowed() {
            int userId = getCurrentUser();
            return isFingerprintAllowedForUser(userId);
        }

        public boolean hasUserAuthenticatedSinceBoot() {
            int userId = getCurrentUser();
            return (getStrongAuthForUser(userId)
                    & STRONG_AUTH_REQUIRED_AFTER_BOOT) == 0;
        }

        @Override
        public void onStrongAuthRequiredChanged(int userId) {
            notifyStrongAuthStateChanged(userId);
        }
    }

StrongAuth的作用機制

前面說了LockSettingsStrongAuth.java是符合核心的處理邏輯西采,開機后會啟動system server,LockSettingsService會實例化一個LockSettingsStrongAuth對象继控,調(diào)用其構(gòu)造函數(shù)械馆,根據(jù)系統(tǒng)設置的默認值來設置對應的flag

    public LockSettingsStrongAuth(Context context) {
        mDefaultStrongAuthFlags = StrongAuthTracker.getDefaultFlags(context);
    }
        public static @StrongAuthFlags int getDefaultFlags(Context context) {
            boolean strongAuthRequired = context.getResources().getBoolean(
                    com.android.internal.R.bool.config_strongAuthRequiredOnBoot);
            return strongAuthRequired ? STRONG_AUTH_REQUIRED_AFTER_BOOT : STRONG_AUTH_NOT_REQUIRED;
        }

完成初始化之后,鎖屏也會建立起和LockSettingsService的聯(lián)系武通,鎖屏繼承了靜態(tài)類StrongAuthTracker狱杰,在這里面查詢當前是否能夠指紋解鎖。

用戶成功使用密碼解鎖之后會調(diào)用到LockSettingsStrongAuth的reportUnlock方法厅须,這里面會重新設置flag

    public void reportUnlock(int userId) {
        requireStrongAuth(STRONG_AUTH_NOT_REQUIRED, userId);
    }

最后來到這個函數(shù)

     private void handleRequireStrongAuthOneUser(int strongAuthReason, int userId) {
        int oldValue = mStrongAuthForUser.get(userId, mDefaultStrongAuthFlags);
        int newValue = strongAuthReason == STRONG_AUTH_NOT_REQUIRED
                ? STRONG_AUTH_NOT_REQUIRED
                : (oldValue | strongAuthReason);
        if (oldValue != newValue) {
            mStrongAuthForUser.put(userId, newValue);
            notifyStrongAuthTrackers(newValue, userId);
        }
    }

當新舊的值不一樣的時候就會通過notifyStrongAuthTrackers來通知各個繼承了靜態(tài)類StrongAuthTracker的類

        /**
         * Called when the strong authentication requirements for {@param userId} changed.
         */
        public void onStrongAuthRequiredChanged(int userId) {
        }

其他的情況也是一樣的矢劲,最終都會調(diào)到handleRequireStrongAuthOneUser來改變當前的flag

8.0的新變化

前面說了三種無法使用指紋解鎖的情況吹榴,但是系統(tǒng)還有一種情況也是不能使用指紋解鎖的,即StrongAuthTimeOut,長時間沒有使用密碼解鎖鞋既,但是這個功能被集成在鎖屏的KeyguardUpdateMonitor里面培廓,沒有在LockSettingsService直接體現(xiàn)筐咧,默認時間是三天

    public boolean isUnlockingWithFingerprintAllowed() {
        return mStrongAuthTracker.isUnlockingWithFingerprintAllowed()
                && !hasFingerprintUnlockTimedOut(sCurrentUser);
    }
    /**
     * Default and maximum timeout in milliseconds after which unlocking with weak auth times out,
     * i.e. the user has to use a strong authentication method like password, PIN or pattern.
     *
     * @hide
     */
    public static final long DEFAULT_STRONG_AUTH_TIMEOUT_MS = 72 * 60 * 60 * 1000; // 72h

8.0之后這部分代碼轉(zhuǎn)移到了StrongAuthTracker中济欢,也是出于安全和封裝性的考慮,具體代碼就不貼了忆植,有興趣可以查看8.0的源碼

?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末放可,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子朝刊,更是在濱河造成了極大的恐慌耀里,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,807評論 6 518
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件拾氓,死亡現(xiàn)場離奇詭異冯挎,居然都是意外死亡,警方通過查閱死者的電腦和手機咙鞍,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,284評論 3 399
  • 文/潘曉璐 我一進店門房官,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人续滋,你說我怎么就攤上這事翰守。” “怎么了疲酌?”我有些...
    開封第一講書人閱讀 169,589評論 0 363
  • 文/不壞的土叔 我叫張陵蜡峰,是天一觀的道長。 經(jīng)常有香客問我,道長事示,這世上最難降的妖魔是什么早像? 我笑而不...
    開封第一講書人閱讀 60,188評論 1 300
  • 正文 為了忘掉前任僻肖,我火速辦了婚禮肖爵,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘臀脏。我一直安慰自己劝堪,他們只是感情好,可當我...
    茶點故事閱讀 69,185評論 6 398
  • 文/花漫 我一把揭開白布揉稚。 她就那樣靜靜地躺著秒啦,像睡著了一般。 火紅的嫁衣襯著肌膚如雪搀玖。 梳的紋絲不亂的頭發(fā)上余境,一...
    開封第一講書人閱讀 52,785評論 1 314
  • 那天,我揣著相機與錄音灌诅,去河邊找鬼芳来。 笑死,一個胖子當著我的面吹牛猜拾,可吹牛的內(nèi)容都是我干的即舌。 我是一名探鬼主播,決...
    沈念sama閱讀 41,220評論 3 423
  • 文/蒼蘭香墨 我猛地睜開眼挎袜,長吁一口氣:“原來是場噩夢啊……” “哼顽聂!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起盯仪,我...
    開封第一講書人閱讀 40,167評論 0 277
  • 序言:老撾萬榮一對情侶失蹤紊搪,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后全景,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體嗦明,經(jīng)...
    沈念sama閱讀 46,698評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,767評論 3 343
  • 正文 我和宋清朗相戀三年蚪燕,在試婚紗的時候發(fā)現(xiàn)自己被綠了娶牌。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 40,912評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡馆纳,死狀恐怖诗良,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情鲁驶,我是刑警寧澤鉴裹,帶...
    沈念sama閱讀 36,572評論 5 351
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響径荔,放射性物質(zhì)發(fā)生泄漏督禽。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,254評論 3 336
  • 文/蒙蒙 一总处、第九天 我趴在偏房一處隱蔽的房頂上張望狈惫。 院中可真熱鬧,春花似錦鹦马、人聲如沸胧谈。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,746評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽菱肖。三九已至,卻和暖如春旭从,著一層夾襖步出監(jiān)牢的瞬間稳强,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,859評論 1 274
  • 我被黑心中介騙來泰國打工和悦, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留退疫,地道東北人。 一個月前我還...
    沈念sama閱讀 49,359評論 3 379
  • 正文 我出身青樓摹闽,卻偏偏與公主長得像蹄咖,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子付鹿,可洞房花燭夜當晚...
    茶點故事閱讀 45,922評論 2 361

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理澜汤,服務發(fā)現(xiàn),斷路器舵匾,智...
    卡卡羅2017閱讀 134,716評論 18 139
  • Android 自定義View的各種姿勢1 Activity的顯示之ViewRootImpl詳解 Activity...
    passiontim閱讀 172,332評論 25 707
  • 時間不知不覺中就已經(jīng)過去了很久俊抵。曾經(jīng)年少輕狂,暗自許下豪言壯語坐梯。憧憬著迷一樣的未來徽诲。轉(zhuǎn)過頭來渾渾噩噩的度過...
    陳先生的腹肌閱讀 553評論 0 0
  • 一段時間沒有寫東西了谎替,最近放暑假背著電腦帶著兒子回了老家。也當是讓自己換個環(huán)境整理下思緒蹋辅。 01 今年夏天最火的電...
    蕭小月閱讀 1,038評論 4 4
  • 素材來源:《TED演講的秘密—18分鐘改變世界》侦另,杰瑞米·多諾萬(美) 從小到大秩命,我都不喜歡站在眾人面前說話尉共,那會...
    墨霜閱讀 365評論 0 1