Z tego przewodnika dowiesz się, jak używać interfejsu DigitalCredential API do uzyskiwania zweryfikowanych numerów telefonów użytkowników. Proces ten obejmuje 2 kroki:
- Poproś o
TS.43 token: aplikacja kliencka („weryfikator”) prosi o tymczasowy token TS.43 z urządzenia użytkownika.TS.43 tokento dane logowania wydane przez operatora, które reprezentują tożsamość użytkownika. - Wymień token na numer telefonu: backend aplikacji wymienia
TS.43 tokenz agregatorem lub operatorem na zweryfikowany numer telefonu użytkownika.
Zgodność z wersją Androida
Interfejs API weryfikacji numeru telefonu jest obsługiwany w Androidzie 10 (poziom API 29) i nowszych wersjach.
Wymagania wstępne
Aby wdrożyć weryfikację numeru telefonu za pomocą interfejsu DigitalCredential API, musisz mieć konto u agregatora lub operatora komórkowego. Agregator współpracuje z operatorami i udostępnia niezbędny interfejs API dla Twojej aplikacji, zwykle jako płatny punkt końcowy interfejsu Cloud API. W tym przewodniku zarówno agregatorzy, jak i operatorzy są określani zbiorczo jako agregatorzy.
Musisz też dodać te zależności do skryptu kompilacji Gradle:
Kotlin
dependencies { implementation("androidx.credentials:credentials:1.7.0-alpha02") implementation("androidx.credentials:credentials-play-services-auth:1.7.0-alpha02") }
Groovy
dependencies { implementation "androidx.credentials:credentials:1.7.0-alpha02" implementation "androidx.credentials:credentials-play-services-auth:1.7.0-alpha02" }
Implementacja
Proces kompleksowy zwykle obejmuje te kroki:
- Poproś agregatora o parametry DCQL (Digital Credential Query Language): wywołaj co najmniej 1 agregatora i poproś o zestaw parametrów DCQL. DCQL umożliwia określenie dokładnych danych logowania cyfrowych, których potrzebujesz od każdego agregatora.
Utwórz żądanie OpenID4VP: w backendzie aplikacji utwórz żądanie OpenID4VP, uwzględniając parametry DCQL od agregatora. Następnie wyślij żądanie OpenID4VP do aplikacji klienckiej.
Wywołaj interfejs Credential Manager API: w aplikacji klienckiej użyj interfejsu Credential Manager API, aby wysłać żądanie OpenID4VP do systemu operacyjnego. W odpowiedzi otrzymasz obiekt odpowiedzi OpenID4VP zawierający
TS.43 Digital Credential. Te dane logowania są zaszyfrowane i mogą zostać odszyfrowane tylko przez powiązanego agregatora. Po otrzymaniu tokena operatora wyślij odpowiedź z aplikacji klienckiej do backendu aplikacji.Sprawdź poprawność odpowiedzi: w backendzie aplikacji sprawdź poprawność odpowiedzi OpenID4VP.
Wymień na numer telefonu: w backendzie aplikacji wyślij
TS.43 Digital Credentialdo agregatora. Agregator sprawdza poprawność danych logowania i zwraca zweryfikowany numer telefonu.
Poproś agregatora o parametry DCQL
W backendzie aplikacji wyślij do agregatora żądanie obiektu danych logowania w języku DCQL (Digital Credential Query Language). W żądaniu podaj nonce i identyfikator żądania. Agregator zwraca obiekt danych logowania DCQL o strukturze podobnej do tej:
{
// The credential ID is mapped to the request ID that is sent in your request to the aggregator.
"id": "aggregator1",
"format": "dc-authorization+sd-jwt",
"meta": {
"vct_values": [
"number-verification/device-phone-number/ts43"
],
"credential_authorization_jwt": "..."
},
"claims": [
{
"path": ["subscription_hint"],
"values": [1]
},
{
"path": ["phone_number_hint"],
"values": ["+14155552671"]
}
]
}
Utwórz żądanie OpenID4VP
Najpierw w backendzie aplikacji utwórz obiekt dcql_query, umieszczając obiekt danych logowania DCQL w tablicy credentials zagnieżdżonej w obiekcie dcql_query, jak pokazano w tym przykładzie:
"dcql_query": {
"credentials": [
"id": "aggregator1",
"format": "dc-authorization+sd-jwt",
"meta": {
"vct_values": [
"number-verification/device-phone-number/ts43"
],
"credential_authorization_jwt": "..."
},
"claims": [
{
"path": ["subscription_hint"],
"values": [1]
},
{
"path": ["phone_number_hint"],
"values": ["+14155552671"]
}
]
]
}
Następnie utwórz żądanie OpenID4VP o tej strukturze:
{
"protocol": "openid4vp-v1-unsigned",
"data": {
"response_type": "vp_token",
"response_mode": "dc_api",
"nonce": "...",
"dcql_query": { ... }
}
}
protocol: w przypadku żądań weryfikacji numeru telefonu musi być ustawiony naopenid4vp-v1-unsigned.response_typeiresponse_mode: stałe oznaczające format żądania z odpowiednio stałymi wartościamivp_tokenidc_api.nonce: unikalna wartość generowana przez backend dla każdego żądania. Nonce w obiekcie danych logowania DCQL agregatora musi być zgodny z tym nonce.dcql_query: w tym przypadku użyjdcql_query, aby określić, że żądane sąTS.43 Digital Credential. Możesz też poprosić o inne dane logowania cyfrowe.
Następnie opakuj żądanie OpenID4VP w obiekt żądania interfejsu DigitalCredential API i wyślij go do aplikacji klienckiej.
{
"requests":
[
{
"protocol": "openid4vp-v1-unsigned",
"data": {
"response_type": "vp_token",
"response_mode": "dc_api",
"nonce": "...",
"dcql_query": { ... }
}
}
]
}
Ten fragment kodu pokazuje, jak wygenerować żądanie interfejsu DigitalCredential API:
def GenerateDCRequest():
credentials = []
aggregator1_dcql = call_aggregator_endpoint(nonce, "aggregator1", additional_params)
credentials.append(aggregator1_dcql) # You can optionally work with multiple
# aggregators, or request other types of credentials
val dc_request =
{
"requests":
[
{
"protocol": "openid4vp-v1-unsigned",
"data": {
"response_type": "vp_token",
"response_mode": "dc_api",
"nonce": "...",
"dcql_query": {"credentials": credentials}
}
}
]
}
return dc_request
Wywołaj interfejs Credential Manager API
W aplikacji klienckiej wywołaj interfejs Credential Manager API, używając żądania interfejsu DigitalCredential API udostępnionego przez backend aplikacji.
val requestJson = generateTs43DigitalCredentialRequestFromServer()
val digiCredOption = GetDigitalCredentialOption(requestJson = requestJson)
val getCredRequest = GetCredentialRequest(
listOf(digiCredOption)
)
coroutineScope.launch {
try {
val response = credentialManager.getCredential(
context = activityContext,
request = getCredRequest
)
val credential = response.credential
when (credential) {
is DigitalCredential -> {
val responseJson = credential.credentialJson
validateResponseOnServer(responseJson)
}
else -> {
// Catch any unrecognized credential type here.
Log.e(TAG, "Unexpected type of credential ${credential.type}")
}
}
} catch (e : GetCredentialException) {
// If user cancels the operation, the feature isn't available, or the
// SIM doesn't support the feature, a GetCredentialCancellationException
// will be returned. Otherwise, a GetCredentialUnsupportedException will
// be returned with details in the exception message.
handleFailure(e)
}
}
Odpowiedź interfejsu DigitalCredential API zawiera odpowiedź OpenID4VP. Typowy
kod JSON danych logowania z wyniku DigitalCredential wygląda tak:
{
"protocol": "openid4vp-v1-unsigned",
"data": {
"vp_token": {
"aggregator1": ["eyJhbGciOiAiRVMy..."] # The encrypted TS.43 Digital
# Credential in an array structure.
}
}
}
Z aplikacji klienckiej wyślij odpowiedź interfejsu DigitalCredential API z powrotem do serwera backendu, gdzie można ją sprawdzić i użyć do wymiany na zweryfikowany numer telefonu u agregatora.
W niektórych przypadkach odpowiedź może zawierać błąd TS.43. Odpowiedź o błędzie to obiekt JSON zgodny z formatem odpowiedzi o błędzie OpenID4VP:
{
"protocol": "openid4vp-v1-unsigned",
"data": {
"error": "<error_code>",
"error_description": "<Human-readable description of the error>",
}
}
Możliwe są 2 wartości error_code:
invalid_request: oznacza, że żądanie jest nieprawidłowo sformułowane.server_error: oznacza, że podczas przetwarzania żądania wystąpiły błędy. Mogą to być błędy lokalne lub problemy z TS.43.
Pole error_description zawiera dodatkowe informacje o problemie.
Sprawdź poprawność odpowiedzi danych logowania cyfrowych
Oto przykład, jak przeanalizować odpowiedź i przeprowadzić weryfikację w backendzie aplikacji:
def processDigitalCredentialsResponse(response):
# Step 1: Parse out the TS.43 Digital Credential from the response
openId4VpResponse = response['data']
ts43_digital_credential = response['vp_token']["aggregator1"][0]
# Step 2: Perform response validation
verifyResponse(ts43_digital_credential)
def verifyResponse(ts43_digital_credential):
# The returned ts43_digital_credential is an SD-JWT-based Verifiable Credentials
# (SD-JWT VC) as defined in this IETF spec. The section 3.4 of the specification
# outlines how to validate the credential. At a high level, the steps involves
# validating (1) the nonce in the response credential matches the one in the
# request, (2) the integrity of the credential by checking the credential is
# signed by the trusted issuer Android Telephony, and (3) other validity
# properties associated with this credential, such as issue time and expiration
# time
# In most cases, you can use an SD-JWT VC library to perform these validations.
# Some aggregators may also perform the validation logic for you. Check with your
# aggregator to decide the exact scope of the validation required.
Wymień na numer telefonu
W backendzie aplikacji wyślij zweryfikowane TS.43 Digital Credential do
punktu końcowego agregatora, aby sprawdzić poprawność danych logowania i otrzymać zweryfikowany
numer telefonu.
def processDigitalCredentialsResponse(response):
# ... prior steps
# Step 3: Call aggregator endpoint to exchange the verified phone number
callAggregatorPnvEndpoint(ts43_digital_credential)