一文读懂华为FIDO2指纹/3D 面容登录技术

最新推荐文章于 2024-12-14 10:38:05 发布
转载 最新推荐文章于 2024-12-14 10:38:05 发布 · 3.1k 阅读 · 6 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.cn/post/6856575917901545479
文章标签:

#fido

本文介绍了如何利用HMSCoreFIDO2服务为APP添加指纹/3D面容登录功能,简化用户登录流程并提升安全性。FIDO2是一套通用的身份验证框架,通过FIDO认证器、FIDO客户端和FIDO服务器的交互实现无密码登录。集成HMSCoreFIDO2,开发者只需添加相应依赖并按照注册和认证流程调用API,即可实现安全快捷的生物特征登录。

前言
  随着人们对于个人信息安全越来越重视,用户对APP安全要求也越来越高,尤其是金融类APP,很多都已支持指纹&3D登录功能。相较于传统登录方法,指纹&3D面容登录可省去输入账户、密码、验证码等环节,在最大限度地方便用户的同时,也保证了用户信息的私密。那么,如何让自己的APP增加指纹/面容登录功能呢?
在这里插入图片描述只要接入HMS线上快速验证服务(FIDO),即可帮助你的APP实现指纹&3D面容登录功能。

HMS Core FIDO2 是个啥?
  Fast Identity Online是一套身份鉴别框架协议。FIDO联盟于2012年7月成立,至2019年5月已达251家,囊括业界领先厂商,技术规范包括UAF和U2F两大系列,并推出FIDO 2.0项目。FIDO联盟成员网址 https://fidoalliance.org/members/
  
FIDO成员举例
在这里插入图片描述
FIDO (Fast Identity Online)规范旨在提供通用、安全、便捷的无密码和多因子线上用户身份验证技术方案。支持应用于用户登录、转账支付等各种需要验证用户身份的场景。FIDO 2(读音:“faìduo兔”或“faìdōu 兔”)规范定义了一个强大的身份验证解决方案。
  FIDO2典型的应用场景有如下三种:

  • 指纹/3D面容登录;
  • 指纹/3D面容转账/支付;
  • 双因子认证;

本期我们将介绍第一个应用场景:指纹/3D面容登录。在应用内登录帐号时,不需要用户输密码,只需要验证指纹/3D面容即完成登录,避免密码、撞库等安全风险。
场景演示
  下方的Gif图展示FIDO2如何完成指纹/3D面容登录的过程。
  在这里插入图片描述
  HMS Core FIDO2 怎么做到的?
  FIDO规范定义了一套在线身份认证的技术架构。其中,除了应用和应用服务器以外,还包括3个组件:FIDO认证器、FIDO客户端和FIDO服务器。
  在这里插入图片描述

  • FIDO认证器:用来进行本地认证的机制或设备,分为平台认证器和漫游认证器。在面向最终用户时,认证器通常被称为安全密钥。

  • 平台认证器:集成在使用FIDO的设备上的认证器,比如手机或笔记本电脑上基于指纹识别硬件的认证器。

  • 漫游认证器:游离于使用FIDO的设备,通过蓝牙、NFC或USB连接的认证器,比如形状类似于U盾或动态令牌的认证器。

  • FIDO客户端:集成在平台中(如Windows、MacOS和HMS Core)中,提供SDK给应用集成;或集成在浏览器中(如Chrome、Firefox和华为浏览器),提供JavaScript API给服务集成。FIDO客户端是应用调用FIDO服务器和FIDO认证器完成认证的桥梁。

  • FIDO服务器:在应用服务器需要发起FIDO认证时,生成符合FIDO规范的认证请求,发送给应用服务器;并在FIDO认证器完成本地认证后,接收应用服务器返回的FIDO认证响应,并进行较验。

FIDO规范定义了两个主要流程:注册和认证。从用户登录这个实际应用场景来说,注册流程对应开通指纹/3D面容登录的过程,认证流程对应使用指纹/3D面容完成登录的过程。
  在注册流程中,FIDO认证器产生一对用户公私钥对作为认证凭据,私钥存储在FIDO认证器中,公钥发送给FIDO服务器存储。同时,FIDO服务器建立用户和认证凭据的关联关系,在认证流程中使用。

在这里插入图片描述
在认证流程中,FIDO认证器使用用户私钥对挑战值进行签名,FIDO服务器使用用户公钥验证签名,验证通过即认为是合法用户。
在这里插入图片描述
如何集成华为HMS Core FIDO2?
在这里插入图片描述
开发前准备
  FIDO2的集成准备,超级简单,除了接入HMS SDK必备的agc、maven和混淆等配置之外,只需加上FIDO2的编译依赖即可,坐标如下:
  implementation ‘com.huawei.hms:fido-fido2:5.0.0.301’
  开发(表格性的,错误码、返回值、编译依赖参考ML)
  FIDO2分成两个操作,注册和认证,处理流程类似。关键过程代码如下:

  1. 初始化一个Fido2Client实例
    Fido2Client fido2Client = Fido2.getFido2Client(activity);

  2. 调用Fido2Client.getRegistrationIntent()发起注册。或调用Fido2Client.getAuthenticationIntent()发起认证。从FIDO服务器获取挑战值及相关策略,并组装请求消息。(这里仅提供FIDO客户端的API,涉及与FIDO服务器的交互,请参考相关规范,并联系FIDO服务器供应商获取相关接口说明。)然后调用Fido2Client.getRegistrationIntent()发起注册。或调用Fido2Client.getAuthenticationIntent()发起认证。
    在回调中调用Fido2Intent.launchFido2Activity(),启动注册(requestCode为Fido2Client.REGISTRATION_REQUEST)或认证(requestCode为Fido2Client.AUTHENTICATION_REQUEST)。该回调在主线程中执行。

fido2Client.getRegistrationIntent(registrationRequest, registrationOptions, new Fido2IntentCallback() {
@Override
    public void onSuccess(Fido2Intent fido2Intent) {
    fido2Intent.launchFido2Activity(XXXActivity.this, Fido2Client.REGISTRATION_REQUEST);
    }
    @Override
    public void onFailure(int errorCode, CharSequence errString) {
    Log.e("errorCode: "+ errorCode + ", errorMsg: " + errString);
    }
});
  1. 在回调Activity.onActivityResult()中,调用getFido2RegistrationResponse()或Fido2Client.getFido2AuthenticationResponse()获取注册或认证的结果。
Fido2RegistrationResponse fido2RegistrationResponse = fido2Client.getFido2RegistrationResponse(data)
  1. 把注册或认证的结果发送给FIDO服务器进行验证
    这里仅提供FIDO客户端的API,涉及与FIDO服务器的交互,请参考相关规范,并联系FIDO服务器供应商获取相关接口说明,代码略

链接:

java中fido_一文读懂华为FIDO2指纹/3D 面容登录技术
weixin_32579355的博客
02-25 1473
前言随着人们对于个人信息安全越来越重视,用户对APP安全要求也越来越高,尤其是金融类APP,很多都已支持指纹&3D登录功能。相较于传统登录方法,指纹&3D面容登录可省去输入账户、密码、验证码等环节,在最大限度地方便用户的同时,也保证了用户信息的私密。那么,如何让自己的APP增加指纹/面容登录功能呢?   只要接入HMS线上快速验证服务(FIDO),即可帮助你的APP实现指纹&amp...
FIDO与WebAuthn
qq_45756062的博客
12-12 4188
WebAuthn 是“一个用于访问公钥凭证的 API”,网站可以通过这个 API 进行一些高安全性的身份验证。WebAuthn 一个最常见的应用就是用于网站登录时的 2FA(双重因素验证)甚至是无密码登录。通过网页调用 WebAuthn,在不同平台下,我们可以实现通过 USB Key、指纹、面部甚至虹膜扫描来认证身份,同时确保安全和隐私。图一:是window1903以上版本提供的window Hello图二三:是浏览器调用WebAuthn API拉起的访问认证器的交互页面。
fido2_Android中FIDO2 API上的POC
weixin_26739079的博客
08-23 592
fido2 认证方式 (Authentication) A few days back I had to make an Android POC on FIDO Protocol and when I started browsing about it, I had not got much of any help from the official documentation and due t...
FIDO2入门以及相关概念 Client to Authenticator Protocol
Liwo4418的博客
02-20 8979
FIDO(Fast Identity Online)是一组开放标准和协议,旨在提供更强大、更安全的身份验证方法,以替代传统的用户名和密码登录FIDO 的目标是通过使用公钥密码学和生物识别技术来提高用户身份验证的安全性,并减少对传统密码的依赖。
华为HarmonyOS帮助应用实现在线认证服务 -- 2 FIDO免密身份认证
最新发布
pisceshsu的博客
12-14 1675
华为HarmonyOS帮助应用实现在线认证服务 -- 2 FIDO免密身份认证
应用开发中的FIDO2与BioAuthn集成指南
FIDO2 和 BioAuthn 技术为开发者提供了强大的工具,用于实现安全、便捷的身份验证功能。本文将详细介绍 FIDO2 和 BioAuthn 的原理、准备工作以及如何在应用中进行集成。 #### 1. FIDO2 和 BioAuthn 原理 ##### 1.1 ...
FIDO2.0概述
热门推荐
WHO ARE YOU
12-06 1万+
问题和目标今天的认证技术在互联网规模上有很多众所周知的缺点。用户的身份验证体验非常分散,令人焦虑。用户必须多次对不同实体进行身份验证,包括本地设备和各种在线服务,如电子邮件和银行。每一种体验都是不同的,有不同的故障模式。密码是目前最常用的认证方法,它有许多与力量、管理和妥协有关的问题。越来越多的人一致认为,这个行业需要发展成一个更好的认证模式。FIDO 2规范定义了一个强大的身份验证架构,并考虑到以
python-fido2:提供FIDO 2.0的库功能,包括通过USB与设备进行通信
03-17
python-fido2 提供用于通过USB与FIDO设备通信以及验证证明和断言签名的库功能。 警告 该项目处于测试阶段。 期望事情随时改变或破坏! 警告 0.9版是该库的最后一个计划版本,它将支持Python2。下一个计划的主要版本是1.0,它将需要Python 3或更高版本。 该库旨在支持FIDO U2F和FIDO 2.0协议,以通过客户端到身份验证器协议(CTAP 1和2)与USB身份验证器进行通信。 除了这种低级别的设备访问之外,在fido2.client和fido2.server模块中定义的类fido2.server实现了更高级别的操作,这些功能在与Authenticator接口或实现对依赖方的WebAuthn支持时非常有用。 有关用法,请参见examples/目录。 参考 这些与WebAuthn和FIDO2相关的链接可以帮助您入门: Yubico WebAuthn
fido2:开源FIDO服务器,具有FIDO2标准。 https
03-27
StrongKey FIDO服务器(SKFS),社区版 自述文件 概述 经FIDO(R)认证的StrongKey FIDO服务器(SKFS),社区版是一个开放源代码解决方案,适用于希望为任何应用程序使用无密码FIDO2登录名的DIY编码人员。 下载代码并将其与您自己的Web登录集成,或研究OpenAPI文档并贡献自己的代码提交。 以下链接提供了FIDOFIDO联盟和FIDO2的一些背景知识: 安装 按照下载SKFS,并使它作为独立服务器运行。 按照下载SKFS并使它作为集群运行。 升级 按照将您当前的SKFS版本升级到最新版本。 样例应用 示例代码提供了每个示例的简要说明: Java样本 :演示FIDO2注册和身份验证的基本Java应用程序 :基本的Java示例应用程序 :概念验证(PoC)Java应用程序 :支持FIDO的示例应用程序演示SSO :启用FIDO的示例And
android-fido2-authenticator:Android中的Fido2验证器实现-与NFC和BLE兼容
02-15
Android FIDO2身份验证器 FIDO2身份验证器仍然很新颖:它们并不便宜,只能存储很少数量的持久密钥(对于单因素是必需的),具有简约的用户界面,并且大多数情况下不会通过生物识别/引脚进行加固。 Android具有出色的FIDO2身份验证器的所有硬件功能。 该项目旨在通过BLE和NFC实施CTAP2。 参考
了解FIDO2:WebAuthn 和 CTAP
月来better
02-27 1505
让世界超越密码 FIDO2FIDO 联盟最新规范集的总称。FIDO2 使用户能够利用通用设备轻松地在移动和桌面环境中对在线服务进行身份验证。FIDO2 规范是万维网联盟 (W3C) 的Web 身份验证 (WebAuthn) 规范和 FIDO 联盟的相应客户端到身份验证器协议 (CTAP)。 fido地址:https://fidoalliance.org/ ...
如何兼顾隐私安全与便捷体验?华为浏览器集成FIDO登录环境更安全
华为开发者联盟
04-14 1724
华为浏览器App是华为官方提供的安全、易用的手机浏览器。App依托华为强大的技术实力,致力于为手机、平板用户,提供高速稳定的上网浏览体验、便捷的搜索服务和全面的隐私保护。用户可在App内搜索、浏览网页内容、登录个人帐号等。 业务挑战 用户使用App登录网站帐号时,例如企业的网站,如果使用单一的手动输入帐号密码的登录方式,会存在耗时、易忘记密码等不便。App需要增加其他安全登录方式,提升用户使用体验。 解决方案 华为浏览器集成FIDO(线上快速身份验证)服务后,用户可在初次登录目标网站后,选择开通..
九、从华为HMS快速身份验证能力FIDO2看密码学知识
卓越无关环境,保持空杯心态——靡不有初,鲜克有终
10-24 2546
章节系列目录:点击跳转   你有没有发现支付宝、银行、淘宝、华为pay等等都是使用指纹支付,为什么指纹验证、面容验证通过它就能通过呢?本篇来说说背后的原理。 根据华为开发者文档介绍 FIDO2线上快速身份验证客户端: 提供基于WebAuthn标准的FIDO2线上快速身份验证客户端实现,为应用及浏览器提供安卓Java API 支持使用USB、NFC、蓝牙漫游认证器。 支持指纹3D面容的平台认证器。 将系统完整性检测结果作为FIDO2认证的前置条件,保障认证结果更安全。 BioAuthn
LWN:在网页应用之外使用FIDO2 无密码认证!
Linux News搬运工
03-08 1593
关注了就能看到更多这么棒的文章哦~Passwordless authentication with FIDO2—beyond just the webFebruary 21, 2023This article was contributed by Koen VervloesemFOSDEMChatGPT assisted translationhttps://lwn.net/Articles/92...
FIDO2 API 在 Android 端使用,帮助开发者实现无密码登录机制
Junes inh 的技术专栏
09-29 1771
Android 平台从 Android 7.0(API 级别 24)开始支持,并且与兼容。用户可以通过指纹、PIN 或外部安全设备进行身份验证。
FIDO框架分析2FIDO UAF服务器)
qq_35161159的博客
02-18 2935
FIDO UAF服务器   fidouaf  github地址: https://github.com/eBay/UAF/tree/master/fidouaf FIDO UAF演示服务器通过使用github上面分析的UAF Core的代码实现了可以实际运行和使用的服务器。它是用Java编写的,我使用SUN的Jersey服务器框架创建了一个服务器。依赖关系如下:除了使用GSON之外,演示服务...
openEuler 22.03 SP1 x86架构OpenSSH 10.0p2二进制包
此外,OpenSSH 10.0 还增强了对 FIDO/U2F 安全密钥认证的支持,提升了多因素认证的能力。 该软件包专为 openEuler 22.03 SP1(Service Pack 1)操作系统设计,说明其经过华为欧拉团队的深度适配与测试,确保在 open...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值