新的安卓樣本: 指紋認(rèn)證API

指紋識(shí)別

Android 6.0棉花糖在幾個(gè)月前就已向用戶公開提供。一路走來(lái)，我們一直在更新我們的代碼示例集合，希望可以著重介紹一些讓您興奮的新功能。

我們將發(fā)布 AsymmetricFingerprintDialog魁兼，這是一個(gè)新示例，演示如何在一個(gè)客戶端或者服務(wù)器環(huán)境中安全地集成兼容的指紋讀取器（如 Nexus Imprint）漠嵌。

讓我們?cè)敿?xì)了解一下此示例的工作方式咐汞，探討它如何成為此前在公眾預(yù)覽版期間發(fā)布的 FingerprintDialog示例的有益補(bǔ)充盖呼。

對(duì)稱密鑰與非對(duì)稱密鑰

Android Fingerprint API 通過(guò)謹(jǐn)慎地保留設(shè)備上安全硬件中包含的用戶指紋特征來(lái)保護(hù)用戶隱私。這可以防范惡意的入侵者化撕，確保用戶即使在不受信任的應(yīng)用中也可以安全地使用他們的指紋几晤。

Android 還可以為應(yīng)用程序開發(fā)者提供保護(hù)，確保在正確識(shí)別用戶指紋之后才授予用戶對(duì)安全數(shù)據(jù)或資源的訪問權(quán)限植阴。這可防止篡改應(yīng)用蟹瘾，從而為離線數(shù)據(jù)和在線交互提供加密級(jí)別的安全性。

當(dāng)用戶激活他們的指紋讀取器時(shí)掠手，實(shí)際上他們是在解鎖一個(gè)由硬件支持的加密保險(xiǎn)庫(kù)憾朴。作為開發(fā)者，您可以根據(jù)應(yīng)用程序的需求來(lái)選擇在該保險(xiǎn)庫(kù)中存儲(chǔ)哪些類型的關(guān)鍵資料：

對(duì)稱密鑰：與密碼相似喷鸽，對(duì)稱密鑰允許對(duì)本地?cái)?shù)據(jù)進(jìn)行加密众雷。它非常適合用于保護(hù)對(duì)數(shù)據(jù)庫(kù)或離線文件的訪問。

非對(duì)稱密鑰：提供一個(gè)由公鑰和私鑰組成的密鑰對(duì)做祝。公鑰可以通過(guò)互聯(lián)網(wǎng)安全地發(fā)送并存儲(chǔ)在遠(yuǎn)程服務(wù)器上报腔。稍后，可使用私鑰對(duì)數(shù)據(jù)進(jìn)行簽名剖淀，以便能夠通過(guò)公鑰驗(yàn)證簽名。已簽名的數(shù)據(jù)無(wú)法被篡改纤房，可以確定地標(biāo)識(shí)數(shù)據(jù)的原始作者纵隔。通過(guò)此方式，非對(duì)稱密鑰可用于網(wǎng)絡(luò)登錄和驗(yàn)證在線交易炮姨。類似地捌刮，也可使用公鑰加密數(shù)據(jù)，以便該數(shù)據(jù)只能通過(guò)私鑰解密舒岸。

此示例演示了如何使用非對(duì)稱密鑰對(duì)網(wǎng)上購(gòu)物進(jìn)行身份驗(yàn)證绅作。如果您想了解如何使用對(duì)稱密鑰，請(qǐng)查看之前發(fā)布的 FingerprintDialog 示例蛾派。

下面形象地解釋了如何使用對(duì)稱密鑰流程將 Android 應(yīng)用俄认、用戶及后端完美地結(jié)合在一起：

圖片發(fā)自簡(jiǎn)書App

設(shè)置：創(chuàng)建一個(gè)非對(duì)稱密鑰對(duì)

首先，您需要?jiǎng)?chuàng)建一個(gè)非對(duì)稱密鑰對(duì)洪乍，如下所示：

KeyPairGenerator.getInstance(KeyProperties.KEY_ALGORITHM_EC, "AndroidKeyStore");
keyPairGenerator.initialize(
? ?new KeyGenParameterSpec.Builder(KEY_NAME,
? ? ? ?KeyProperties.PURPOSE_SIGN)
? ? ? ?.setDigests(KeyProperties.DIGEST_SHA256)
? ? ? ?.setAlgorithmParameterSpec(new ECGenParameterSpec("secp256r1"))
? ? ? ?.setUserAuthenticationRequired(true)
? ? ? ?.build());
keyPairGenerator.generateKeyPair();

請(qǐng)注意眯杏，.setUserAuthenticationRequired(true) 需要此用戶使用注冊(cè)的指紋進(jìn)行身份驗(yàn)證，以授權(quán)私鑰的每次使用壳澳。

然后岂贩，您可以檢索已創(chuàng)建的私鑰和公鑰，如下所示：

KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
PublicKey publicKey =
? ?keyStore.getCertificate(MainActivity.KEY_NAME).getPublicKey();

KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
PrivateKey key = (PrivateKey) keyStore.getKey(KEY_NAME, null);

注冊(cè)：向服務(wù)器注冊(cè)公鑰

其次巷波，您需要將公鑰傳輸?shù)胶蠖宋颍员銓?lái)后端可以驗(yàn)證由該用戶授權(quán)（即通過(guò)與此公鑰對(duì)應(yīng)的私鑰進(jìn)行簽名）的交易卸伞。此示例使用偽后端實(shí)現(xiàn)，僅供參考锉屈，因此荤傲，它模擬公鑰的傳輸，但在現(xiàn)實(shí)中部念，您需要通過(guò)網(wǎng)絡(luò)傳輸此公鑰弃酌。

boolean enroll(String userId, String password, PublicKey publicKey);

讓我們開始吧：使用指紋簽署交易

為讓該用戶能夠驗(yàn)證交易（例如，購(gòu)買某件商品）儡炼，請(qǐng)?zhí)崾居脩粲|摸指紋傳感器妓湘。

圖片發(fā)自簡(jiǎn)書App

然后，開始偵聽指紋乌询，如下所示：

Signature.getInstance("SHA256withECDSA");
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);
PrivateKey key = (PrivateKey) keyStore.getKey(KEY_NAME, null);
signature.initSign(key);
CryptoObject cryptObject = new FingerprintManager.CryptoObject(signature);

CancellationSignal cancellationSignal = new CancellationSignal();
FingerprintManager fingerprintManager =
? ?context.getSystemService(FingerprintManager.class);
fingerprintManager.authenticate(cryptoObject, cancellationSignal, 0, this, null);

完成：將此數(shù)據(jù)發(fā)送到后端并進(jìn)行驗(yàn)證

在身份驗(yàn)證成功后榜贴，發(fā)送已簽名的數(shù)據(jù)（在此示例中為購(gòu)買交易的商品清單）發(fā)送到后端，如下所示：

Signature signature = cryptoObject.getSignature();
// Include a client nonce in the transaction so that the nonce is also signed
// by the private key and the backend can verify that the same nonce can't be used
// to prevent replay attacks.
Transaction transaction = new Transaction("user", 1, new SecureRandom().nextLong());
try {
?signature.update(transaction.toByteArray());
?byte[] sigBytes = signature.sign();
?// Send the transaction and signedTransaction to the dummy backend
?if (mStoreBackend.verify(transaction, sigBytes)) {
? ?mActivity.onPurchased(sigBytes);
? ?dismiss();
?} else {
? ?mActivity.onPurchaseFailed();
? ?dismiss();
?}
} catch (SignatureException e) {
?throw new RuntimeException(e);
}

最后妹田，使用在第 2 步中注冊(cè)的公鑰在后端驗(yàn)證已簽名的數(shù)據(jù)唬党。

@Override
public boolean verify(Transaction transaction, byte[] transactionSignature) {
?try {
? ?if (mReceivedTransactions.contains(transaction)) {
? ? ?// It verifies the equality of the transaction including the client nonce
? ? ?// So attackers can't do replay attacks.
? ? ?return false;
? ?}
? ?mReceivedTransactions.add(transaction);
? ?PublicKey publicKey = mPublicKeys.get(transaction.getUserId());
? ?Signature verificationFunction = Signature.getInstance("SHA256withECDSA");
? ?verificationFunction.initVerify(publicKey);
? ?verificationFunction.update(transaction.toByteArray());
? ?if (verificationFunction.verify(transactionSignature)) {
? ? ?// Transaction is verified with the public key associated with the user
? ? ?// Do some post purchase processing in the server
? ? ?return true;
? ?}
?} catch (NoSuchAlgorithmException | InvalidKeyException | SignatureException e) {
? ?// In a real world, better to send some error message to the user
?}
?return false;
}

此時(shí)，您可以假設(shè)該用戶已正確使用其指紋通過(guò)身份驗(yàn)證鬼佣，因?yàn)槭还埃绲?1 步所述，每次使用私鑰之前均需要對(duì)用戶進(jìn)行身份驗(yàn)證【е裕現(xiàn)在開始在后端進(jìn)行后處理蓝纲，并通知用戶交易成功！

其他更新的示例

我們還針對(duì) Android For Work API 提供了幾個(gè)與 Android 6.0棉花糖相關(guān)的更新晌纫，供您研讀：

AppRestrictionEnforcer 和 AppRestrictionSchema 這些示例最初是在推出應(yīng)用限制功能（作為 Android for Work API 的一部分）時(shí)在 Android 5.0 棒棒糖中發(fā)布的税迷。AppRestrictionEnforcer 演示作為配置文件所有者如何對(duì)其他應(yīng)用設(shè)置限制。AppRestrictionSchema 定義了一些可以由 AppRestrictionEnforcer 控制的限制锹漱。此更新顯示如何使用 Android 6.0 中引入的 2 個(gè)額外的限制類型箭养。

原文來(lái)自【安卓開發(fā)者全球博客】:

android-developers.blogspot.com/

最后編輯于：2017.11.27 05:45:03

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市哥牍，隨后出現(xiàn)的幾起案子毕泌，更是在濱河造成了極大的恐慌，老刑警劉巖嗅辣，帶你破解...
沈念sama閱讀 211,194評(píng)論 6贊 490
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件懈词，死亡現(xiàn)場(chǎng)離奇詭異，居然都是意外死亡辩诞，警方通過(guò)查閱死者的電腦和手機(jī)坎弯，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 90,058評(píng)論 2贊 385
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)，“玉大人抠忘，你說(shuō)我怎么就攤上這事撩炊。” “怎么了崎脉？”我有些...
開封第一講書人閱讀 156,780評(píng)論 0贊 346
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵拧咳，是天一觀的道長(zhǎng)。經(jīng)常有香客問我囚灼，道長(zhǎng)骆膝，這世上最難降的妖魔是什么？我笑而不...
開封第一講書人閱讀 56,388評(píng)論 1贊 283
?港島之戀（遺憾婚禮）
正文為了忘掉前任灶体，我火速辦了婚禮阅签，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘蝎抽。我一直安慰自己政钟，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 65,430評(píng)論 5贊 384
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開白布樟结。她就那樣靜靜地躺著养交，像睡著了一般。火紅的嫁衣襯著肌膚如雪瓢宦。梳的紋絲不亂的頭發(fā)上碎连，一...
開封第一講書人閱讀 49,764評(píng)論 1贊 290
城市分裂傳說(shuō)
那天，我揣著相機(jī)與錄音驮履，去河邊找鬼鱼辙。笑死，一個(gè)胖子當(dāng)著我的面吹牛疲吸，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播前鹅，決...
沈念sama閱讀 38,907評(píng)論 3贊 406
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼摘悴，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了舰绘？” 一聲冷哼從身側(cè)響起蹂喻，我...
開封第一講書人閱讀 37,679評(píng)論 0贊 266
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎捂寿，沒想到半個(gè)月后口四，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 44,122評(píng)論 1贊 303
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡秦陋，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 36,459評(píng)論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年蔓彩，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 38,605評(píng)論 1贊 340
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡赤嚼，死狀恐怖旷赖，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情更卒，我是刑警寧澤等孵，帶...
沈念sama閱讀 34,270評(píng)論 4贊 329
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站蹂空，受9級(jí)特大地震影響俯萌，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜上枕，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,867評(píng)論 3贊 312
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一咐熙、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧姿骏，春花似錦糖声、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,734評(píng)論 0贊 21
一樁弒父案蘸泻，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至嘲玫，卻和暖如春悦施，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背去团。一陣腳步聲響...
開封第一講書人閱讀 31,961評(píng)論 1贊 265
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工抡诞，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人土陪。一個(gè)月前我還...
沈念sama閱讀 46,297評(píng)論 2贊 360
代替公主和親
正文我出身青樓昼汗，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親鬼雀。傳聞我的和親對(duì)象是個(gè)殘疾皇子顷窒，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 43,472評(píng)論 2贊 348