作者:透明的眼泪2502913707 | 来源:互联网 | 2023-05-25 13:23
我SecItemCopyMatching用来获取受Touch ID保护的钥匙串项目.
但是,如果Touch ID解锁失败(或用户选择"输入密码"),我想呈现自己的PIN输入UI.
我不希望在任何时候向用户呈现系统密码输入UI.
LAContext的evaluatePolicy方法提供了这一点,但不提供任何实际的钥匙扣安全,仅仅是本地认证.
因此,我不会用它LAContext来实现这一点.这有可能SecItemCopyMatching吗?
1> Keith Cought..:
在iOS 8.3及更高版本中,密码后备选项最初是隐藏的,但如果无法识别第一个手指,则仍会显示.
对于iOS 9,添加了两个不会回退到密码的新策略.这些策略是kSecAccessControlTouchIDAny和kSecAccessControlTouchIDCurrentSet
2> bllakjakk..:
在我们的一个正在制作的应用程序中工作时,我们遇到了类似的困境.我们意识到我们需要触摸ID解锁以及自定义回退机制(需要服务器API进行解锁),这比4位数的解锁密码更强.
那么,让我试着解释一下我们是如何实现它的.预计苹果公司将购买Appstore和1Password应用程序.
背景:
两种集成Touch ID的机制:
使用Touch ID访问存储在钥匙串中的凭据
问题:
如果设备也具有Touch ID,则首选方法是使用Touch ID进行身份验证,密码是备份机制
不允许使用其他回退机制,Apple不允许自定义回退用户界面
使用Touch ID直接向应用程序进行身份验证(称为本地身份验证)
问题:
未授权从Secure Enclave存储机密或检索机密
与钥匙串访问案例相反,Apple不允许将设备密码验证作为备份
每个应用程序都需要提供自己的备用,以便使用自定义UI处理失败的Touch ID案例
关心:
关于在钥匙串中存储敏感信息:
我们很想使用这种方法,但是由于意识到没有使用Touch ID进行身份验证的唯一后备是设备密码而感到吃惊.iOS用户通常配置一个四位数密码,这比用户自定义密码安全性低.
整容举例:
Apple使用您的iCloud帐户密码[自定义回退机制]作为itunes商店购买的后备机制,如果用户无法使用Touch ID进行身份验证.
1Password app也有类似的方法.
结论
在我们的应用程序中,我们通过LocalAuthentication使用Touch ID进行身份验证,我们使用"应用程序特定的PIN解锁功能"或客户端密码作为回退机制.
我们不会在设备上存储密码,如果设备没有在应用程序中配置PIN,则无法通过Touch ID进行身份验证需要通过服务器API进行完全身份验证.
示例代码:
[self.laContext evaluatePolicy:LAPolicyDeviceOwnerAuthenticationWithBiometrics
localizedReason:reason
reply:^(BOOL success, NSError *error) {
if (success)
dispatch_async(dispatch_get_main_queue(), ^{ successBlock(); });
else
dispatch_async(dispatch_get_main_queue(), ^{ fallbackBlock(error); });
self.laCOntext= nil;
}
];
3> ProgrammierT..:
这应该是对bllakjakk的评论,但我的声誉不允许我这样做.
我只是添加了这个答案,因为问题是专门询问:
获取受Touch ID保护的钥匙串项目
接受的答案提到了设备上没有存储凭据的情况.
为了完整起见,我想提一下,如果您的应用需要对某个外部实体进行身份验证,因此您必须在某处存储凭据,那么Key-Chain选项是通过本地身份验证考虑的选项.
如果他们知道设备密码(可能是弱四位数等等),那么有人能够通过Key-Chain的回退进行身份验证,这是一个没有实际意义的点,因为没有任何东西可以防止用户将自己的指纹添加到设备中他们拥有密码,然后通过密钥链或本地身份验证进行身份验证,而无需选择回退.
因此,如果您使用基于密钥链的本地身份验证,因为您觉得回退机制更安全,那么您可能会忽略那些细微的细节,因此可以放弃在安全区域中存储凭据的机会.
我们即将为财务应用程序实施TouchID,并选择Key-Chain.目的是让用户了解在尝试为我们的应用启用TouchID时对强设备密码的需求.
我希望这可以帮助你做出决定.
京公网安备 11010802041100号