Android7.0 LockSettingsService——StrongAuth機制介紹

Android6.0之后支持了指紋解鎖唱较，但是指紋本身的安全性是不如密碼的，所以Android系統(tǒng)加入了StrongAuth機制霉旗，要求用戶在某些情況下必須用密碼解鎖（例如手機重啟后）痴奏，之后才能用指紋解鎖。

StrongAuth的相關定義

鎖屏密碼安全涉及到兩個比較重要的類厌秒，LockPatternUtils和LockSettingsService读拆，StrongAuth的相關常量定義和接口也被定義在這兩個類里面，此外鸵闪，還有一個專門的類LockSettingsStrongAuth.java用于處理一些核心事件
LockPatternUtils.java中定義了一個靜態(tài)內(nèi)部類StrongAuthTracker檐晕，里面定義了一些非常重要的常量

        /**
         * Strong authentication is not required.
         */
        public static final int STRONG_AUTH_NOT_REQUIRED = 0x0;

        /**
         * Strong authentication is required because the user has not authenticated since boot.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_BOOT = 0x1;

        /**
         * Strong authentication is required because a device admin has requested it.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_DPM_LOCK_NOW = 0x2;

        /**
         * Some authentication is required because the user has temporarily disabled trust.
         */
        public static final int SOME_AUTH_REQUIRED_AFTER_USER_REQUEST = 0x4;

        /**
         * Strong authentication is required because the user has been locked out after too many
         * attempts.
         */
        public static final int STRONG_AUTH_REQUIRED_AFTER_LOCKOUT = 0x8;

        /**
         * Strong auth flags that do not prevent fingerprint from being accepted as auth.
         *
         * If any other flags are set, fingerprint is disabled.
         */
        private static final int ALLOWING_FINGERPRINT = STRONG_AUTH_NOT_REQUIRED
                | SOME_AUTH_REQUIRED_AFTER_USER_REQUEST;

根據(jù)這些常量的定義，不難看到以下的幾種情況是無法使用指紋解鎖的

系統(tǒng)重啟 STRONG_AUTH_REQUIRED_AFTER_BOOT
設備管理器鎖定 STRONG_AUTH_REQUIRED_AFTER_DPM_LOCK_NOW
錯誤次數(shù)過多 STRONG_AUTH_REQUIRED_AFTER_LOCKOUT

除此之外，其他情況下都是可以使用指紋解鎖的
同時我們也可以發(fā)現(xiàn)辟灰，這些常量是16進制的int類型个榕，會和ALLOWING_FINGERPRINT 進行位運算來判斷當前是否能使用指紋解鎖，這一點從StrongAuthTracker的對外接口就可以看出

        /**
         * @return true if unlocking with fingerprint alone is allowed for {@param userId} by the
         * current strong authentication requirements.
         */
        public boolean isFingerprintAllowedForUser(int userId) {
            return (getStrongAuthForUser(userId) & ~ALLOWING_FINGERPRINT) == 0;
        }

鎖屏繼承了這個類并加以擴展芥喇，用來判斷當前系統(tǒng)是否允許指紋解鎖

    public class StrongAuthTracker extends LockPatternUtils.StrongAuthTracker {
        public StrongAuthTracker(Context context) {
            super(context);
        }

        public boolean isUnlockingWithFingerprintAllowed() {
            int userId = getCurrentUser();
            return isFingerprintAllowedForUser(userId);
        }

        public boolean hasUserAuthenticatedSinceBoot() {
            int userId = getCurrentUser();
            return (getStrongAuthForUser(userId)
                    & STRONG_AUTH_REQUIRED_AFTER_BOOT) == 0;
        }

        @Override
        public void onStrongAuthRequiredChanged(int userId) {
            notifyStrongAuthStateChanged(userId);
        }
    }

StrongAuth的作用機制

前面說了LockSettingsStrongAuth.java是符合核心的處理邏輯西采，開機后會啟動system server，LockSettingsService會實例化一個LockSettingsStrongAuth對象继控，調(diào)用其構(gòu)造函數(shù)械馆，根據(jù)系統(tǒng)設置的默認值來設置對應的flag

    public LockSettingsStrongAuth(Context context) {
        mDefaultStrongAuthFlags = StrongAuthTracker.getDefaultFlags(context);
    }

        public static @StrongAuthFlags int getDefaultFlags(Context context) {
            boolean strongAuthRequired = context.getResources().getBoolean(
                    com.android.internal.R.bool.config_strongAuthRequiredOnBoot);
            return strongAuthRequired ? STRONG_AUTH_REQUIRED_AFTER_BOOT : STRONG_AUTH_NOT_REQUIRED;
        }

完成初始化之后，鎖屏也會建立起和LockSettingsService的聯(lián)系武通，鎖屏繼承了靜態(tài)類StrongAuthTracker狱杰，在這里面查詢當前是否能夠指紋解鎖。

用戶成功使用密碼解鎖之后會調(diào)用到LockSettingsStrongAuth的reportUnlock方法厅须，這里面會重新設置flag

    public void reportUnlock(int userId) {
        requireStrongAuth(STRONG_AUTH_NOT_REQUIRED, userId);
    }

最后來到這個函數(shù)

     private void handleRequireStrongAuthOneUser(int strongAuthReason, int userId) {
        int oldValue = mStrongAuthForUser.get(userId, mDefaultStrongAuthFlags);
        int newValue = strongAuthReason == STRONG_AUTH_NOT_REQUIRED
                ? STRONG_AUTH_NOT_REQUIRED
                : (oldValue | strongAuthReason);
        if (oldValue != newValue) {
            mStrongAuthForUser.put(userId, newValue);
            notifyStrongAuthTrackers(newValue, userId);
        }
    }

當新舊的值不一樣的時候就會通過notifyStrongAuthTrackers來通知各個繼承了靜態(tài)類StrongAuthTracker的類

        /**
         * Called when the strong authentication requirements for {@param userId} changed.
         */
        public void onStrongAuthRequiredChanged(int userId) {
        }

其他的情況也是一樣的矢劲，最終都會調(diào)到handleRequireStrongAuthOneUser來改變當前的flag

8.0的新變化

前面說了三種無法使用指紋解鎖的情況吹榴，但是系統(tǒng)還有一種情況也是不能使用指紋解鎖的，即StrongAuthTimeOut，長時間沒有使用密碼解鎖鞋既，但是這個功能被集成在鎖屏的KeyguardUpdateMonitor里面培廓，沒有在LockSettingsService直接體現(xiàn)筐咧，默認時間是三天

    public boolean isUnlockingWithFingerprintAllowed() {
        return mStrongAuthTracker.isUnlockingWithFingerprintAllowed()
                && !hasFingerprintUnlockTimedOut(sCurrentUser);
    }

    /**
     * Default and maximum timeout in milliseconds after which unlocking with weak auth times out,
     * i.e. the user has to use a strong authentication method like password, PIN or pattern.
     *
     * @hide
     */
    public static final long DEFAULT_STRONG_AUTH_TIMEOUT_MS = 72 * 60 * 60 * 1000; // 72h

8.0之后這部分代碼轉(zhuǎn)移到了StrongAuthTracker中济欢，也是出于安全和封裝性的考慮，具體代碼就不貼了忆植，有興趣可以查看8.0的源碼

?著作權歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末放可，一起剝皮案震驚了整個濱河市，隨后出現(xiàn)的幾起案子朝刊，更是在濱河造成了極大的恐慌耀里，老刑警劉巖，帶你破解...
沈念sama閱讀 222,807評論 6贊 518
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件拾氓，死亡現(xiàn)場離奇詭異冯挎，居然都是意外死亡，警方通過查閱死者的電腦和手機咙鞍，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 95,284評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門房官，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人续滋，你說我怎么就攤上這事翰守。” “怎么了疲酌？”我有些...
開封第一講書人閱讀 169,589評論 0贊 363
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵蜡峰，是天一觀的道長。經(jīng)常有香客問我，道長事示，這世上最難降的妖魔是什么早像？我笑而不...
開封第一講書人閱讀 60,188評論 1贊 300
?港島之戀（遺憾婚禮）
正文為了忘掉前任僻肖，我火速辦了婚禮肖爵，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘臀脏。我一直安慰自己劝堪，他們只是感情好，可當我...
茶點故事閱讀 69,185評論 6贊 398
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布揉稚。她就那樣靜靜地躺著秒啦，像睡著了一般。火紅的嫁衣襯著肌膚如雪搀玖。梳的紋絲不亂的頭發(fā)上余境，一...
開封第一講書人閱讀 52,785評論 1贊 314
城市分裂傳說
那天，我揣著相機與錄音灌诅，去河邊找鬼芳来。笑死，一個胖子當著我的面吹牛猜拾，可吹牛的內(nèi)容都是我干的即舌。我是一名探鬼主播，決...
沈念sama閱讀 41,220評論 3贊 423
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼挎袜，長吁一口氣：“原來是場噩夢啊……” “哼顽聂！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起盯仪，我...
開封第一講書人閱讀 40,167評論 0贊 277
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤紊搪，失蹤者是張志新（化名）和其女友劉穎，沒想到半個月后全景，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體嗦明，經(jīng)...
沈念sama閱讀 46,698評論 1贊 320
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 38,767評論 3贊 343
?白月光啟示錄
正文我和宋清朗相戀三年蚪燕，在試婚紗的時候發(fā)現(xiàn)自己被綠了娶牌。大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點故事閱讀 40,912評論 1贊 353
活死人
序言：一個原本活蹦亂跳的男人離奇死亡馆纳，死狀恐怖诗良，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情鲁驶，我是刑警寧澤鉴裹，帶...
沈念sama閱讀 36,572評論 5贊 351
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站，受9級特大地震影響径荔，放射性物質(zhì)發(fā)生泄漏督禽。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點故事閱讀 42,254評論 3贊 336
男人毒藥：我在死后第九天來索命
文/蒙蒙一总处、第九天我趴在偏房一處隱蔽的房頂上張望狈惫。院中可真熱鬧，春花似錦鹦马、人聲如沸胧谈。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,746評論 0贊 25
一樁弒父案荸频，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽菱肖。三九已至，卻和暖如春旭从，著一層夾襖步出監(jiān)牢的瞬間稳强，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 33,859評論 1贊 274
情欲美人皮
我被黑心中介騙來泰國打工和悦，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留退疫，地道東北人。一個月前我還...
沈念sama閱讀 49,359評論 3贊 379
代替公主和親
正文我出身青樓摹闽，卻偏偏與公主長得像蹄咖，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子付鹿，可洞房花燭夜當晚...
茶點故事閱讀 45,922評論 2贊 361

Android7.0 LockSettingsService——StrongAuth機制介紹

StrongAuth的相關定義

StrongAuth的作用機制

8.0的新變化

推薦閱讀更多精彩內(nèi)容