是否可以在应用程序中使用Touch ID传感器,但不能用于登录身份验证?在应用程序中,用户可以扫描另一个人的手指.然后,指纹将与数据库匹配,找到该人的个人资料.
答案是不.参考:https://www.noknok.com/what-they-say/blog/apple-touch-id-app-for-mobile-fingerprint-authentication
那么,Apple的Touch ID API是我们在线身份验证需求的答案吗?目前,API仅提供两种功能:
- 能够使用指纹传感器确定用户是否已成功通过设备验证.
- 能够通过成功的指纹身份验证解锁iOS钥匙串数据.
虽然这两种功能都提供本地身份验证,但它们不为应用程序或用户提供对远程服务器进行身份验证的机制.希望实施远程身份验证的应用程序开发者必须创建自己的解
但是,您可以执行以下操作:
完成远程身份验证的一种机制是使用Touch ID Keychain API来存储密码.成功的指纹身份验证将解锁密码,允许应用程序使用密码代表用户向服务器进行身份验证.虽然快速而简单,但这种方法仍然保留了许多密码的遗留安全问题,包括对密码数据库的大规模服务器端攻击的漏洞.用户还承担着在iOS钥匙串和服务器之间保持密码同步的负担,这增加了用户严重混淆和摩擦的可能性.