Integra Gestore delle credenziali con la soluzione del tuo fornitore di credenziali

Per Gestore delle credenziali si intende un insieme di API introdotte in Android 14 che supportano diversi metodi di accesso, come nome utente e password, passkey e soluzioni di accesso federato (come Accedi con Google). Quando l'API Credential Manager viene richiamato, il sistema Android aggrega le credenziali di tutte le credenziali provider installati sul dispositivo. Questo documento descrive l'insieme di API che forniscono endpoint di integrazione per questi fornitori di credenziali.

Configura

Prima di implementare la funzionalità nel tuo provider di credenziali, completa i passaggi di configurazione descritti nelle sezioni seguenti.

Dichiarare le dipendenze

Nel file build.gradle del modulo, dichiara una dipendenza utilizzando la versione più recente della libreria Gestore delle credenziali:

implementation "androidx.credentials:credentials:1.2.0-{latest}"

Dichiara l'elemento di servizio nel file manifest

Nel file manifest AndroidManifest.xml della tua app, includi un <service> per una classe di servizio che estende CredentialProviderService della raccolta androidx.credentials, come mostrato nell'esempio riportato di seguito.

<service android:name=".MyCredentialProviderService"
         android:enabled="true"
         android:exported="true"
         android:label="My Credential Provider"
         android:icon="<any drawable icon>"
         android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE">
    <intent-filter>
        <action android:name="android.service.credentials.CredentialProviderService"/>
    </intent-filter>
    <meta-data
         android:name="android.credentials.provider"
         android:resource="@xml/provider"/>
</service>

L'autorizzazione e il filtro intent mostrato sopra sono fondamentali per il funzionamento del flusso di CredentialManager come previsto. L'autorizzazione è necessaria per consentire l'associazione solo al sistema Android. Il filtro intent viene utilizzato per la rilevabilità di questo servizio come fornitore di credenziali da utilizzare da Gestione credenziali.

Dichiara i tipi di credenziali supportati

Nella directory res/xml, crea un nuovo file denominato provider.xml. In questo dichiara i tipi di credenziali supportati dal tuo servizio, mediante costanti definiti per ogni tipo di credenziale nella libreria. Nel seguente esempio, il servizio supporta le password tradizionali e le passkey, le cui costanti sono definite come TYPE_PASSWORD_CREDENTIAL e TYPE_PUBLIC_KEY_CREDENTIAL:

<?xml version="1.0" encoding="utf-8"?>
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
   <capabilities>
       <capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
       <capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
   </capabilities>
</credential-provider>

Nei livelli API precedenti, i fornitori di credenziali si integravano con API come la compilazione automatica per password e altri dati. Questi fornitori possono utilizzare la stessa infrastruttura interna per archiviare i tipi di credenziali esistenti, espandendola al contempo per supportarne altri, incluse le passkey.

Approccio in due fasi all'interazione con i fornitori

Gestore delle credenziali interagisce con i provider di credenziali in due fasi:

  1. La prima fase è la fase di inizio/query in cui il sistema si associa i servizi e le chiamate del provider di credenziali onBeginGetCredentialRequest(), onBeginCreateCredentialRequest() oppure Metodi onClearCredentialStateRequest() con Begin… richieste. I fornitori devono elaborare queste richieste e rispondere con le risposte di Begin…. popolandoli con voci che rappresentano opzioni visive da mostrare. il selettore di account. Ogni voce deve avere un PendingIntent impostato.
  2. Una volta che l'utente seleziona una voce, inizia la fase di selezione e viene attivato il PendingIntent associato alla voce, visualizzando l'attività del fornitore corrispondente. Una volta che l'utente ha terminato di interagire con questa attività, il fornitore di credenziali deve impostare la risposta al risultato dell'attività prima di terminarla. Questa risposta viene poi inviata all'app client che ha invocato Gestore delle credenziali.

Gestire la creazione delle passkey

Gestire le query per la creazione di passkey

Quando un'app client vuole creare una passkey e memorizzarla con un fornitore di credenziali, chiama l'API createCredential. Per gestire questa richiesta nel servizio del fornitore di credenziali in modo che la passkey venga effettivamente archiviata nel tuo spazio di archiviazione, completa i passaggi descritti nelle sezioni seguenti.

  1. Esegui l'override del metodo onBeginCreateCredentialRequest() nel servizio esteso da CredentialProviderService.
  2. Gestisci BeginCreateCredentialRequest creando un BeginCreateCredentialResponse corrispondente e passandolo al callback.
  3. Durante la costruzione di BeginCreateCredentialResponse, aggiungi il CreateEntries richiesto. Ogni CreateEntry deve corrispondere a un account in cui è possibile salvare la credenziale e deve avere un valore PendingIntent impostato insieme ad altri metadati richiesti.

L'esempio seguente illustra come implementare questi passaggi.

override fun onBeginCreateCredentialRequest(
  request: BeginCreateCredentialRequest,
  cancellationSignal: CancellationSignal,
  callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
  val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
  if (response != null) {
    callback.onResult(response)
  } else {
    callback.onError(CreateCredentialUnknownException())
  }
}

fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
  when (request) {
    is BeginCreatePublicKeyCredentialRequest -> {
      // Request is passkey type
      return handleCreatePasskeyQuery(request)
    }
  }
  // Request not supported
  return null
}

private fun handleCreatePasskeyQuery(
    request: BeginCreatePublicKeyCredentialRequest
    ): BeginCreateCredentialResponse {

    // Adding two create entries - one for storing credentials to the 'Personal'
    // account, and one for storing them to the 'Family' account. These
    // accounts are local to this sample app only.
    val createEntries: MutableList<CreateEntry> = mutableListOf()
    createEntries.add( CreateEntry(
        PERSONAL_ACCOUNT_ID,
        createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
    ))

    createEntries.add( CreateEntry(
        FAMILY_ACCOUNT_ID,
        createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
    ))

    return BeginCreateCredentialResponse(createEntries)
}

private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
    val intent = Intent(action).setPackage(PACKAGE_NAME)

    // Add your local account ID as an extra to the intent, so that when
    // user selects this entry, the credential can be saved to this
    // account
    intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)

    return PendingIntent.getActivity(
        applicationContext, UNIQUE_REQ_CODE,
        intent, (
            PendingIntent.FLAG_MUTABLE
            or PendingIntent.FLAG_UPDATE_CURRENT
        )
    )
}

La tua costruzione di PendingIntent deve rispettare i seguenti requisiti:

  • L'attività corrispondente deve essere impostata in modo da mostrare eventuali Prompt biometrico, conferma o selezione obbligatoria.
  • Tutti i dati richiesti di cui il fornitore ha bisogno quando viene svolta l'attività corrispondente richiamati deve essere impostato come un extra rispetto all'intent utilizzato per creare i tuoi PendingIntent, ad esempio accountId nel flusso di creazione.
  • PendingIntent deve essere creato con il flag PendingIntent.FLAG_MUTABLE in modo che il sistema possa aggiungere la richiesta richiesta all'intent aggiuntivo.
  • PendingIntent non deve essere creato con il flag PendingIntent.FLAG_ONE_SHOT come l'utente può selezionare una voce, tornare indietro e riselezionalo e questo causerebbe l'attivazione di PendingIntent due volte.
  • Il tuo PendingIntent deve essere creato con un codice di richiesta univoco in modo che ogni voce possa avere il proprio valore PendingIntent.

Gestire la selezione delle voci per le richieste di creazione di passkey

  1. Quando l'utente seleziona un CreateEntry compilato in precedenza, viene richiamato il PendingIntent corrispondente e viene creato il fornitore associato Activity.
  2. Dopo aver invocato il metodo onCreate della tua attività, accedi all'intent associato e passalo alla classe PendingIntentHander per ottenere ProviderCreateCredentialRequest.
  3. Estrai requestJson, callingAppInfo e clientDataHash dalla richiesta.
  4. Estrai il valore accountId locale dall'extra per l'intent. Si tratta di un'implementazione specifica per app di esempio e non è obbligatoria. Questo ID account può essere utilizzato per memorizzare le credenziali relative a questo specifico ID account.
  5. Convalida requestJson. L'esempio seguente utilizza classi di dati locali comePublicKeyCredentialCreationOptions per convertire il JSON di input in una classe strutturata in base alle specifiche WebAuthn. In qualità di fornitore di credenziali, puoi sostituire questa classe con il tuo parser.
  6. Controlla l'attributo asset-link per l'app chiamante se la chiamata proviene da un'app Android nativa.
  7. Visualizzare un prompt di autenticazione. L'esempio riportato di seguito utilizza il comando Android API Biometric.
  8. Quando l'autenticazione è andata a buon fine, genera un credentialId e una coppia di chiavi.
  9. Salva la chiave privata nel tuo database locale per callingAppInfo.packageName.
  10. Crea una risposta JSON dell'API Web Authentication che è composto dalla chiave pubblica e dalla credentialId. L'esempio riportato di seguito utilizza classi di utilità locali come AuthenticatorAttestationResponse e FidoPublicKeyCredential che aiutano a creare un JSON in base alle specifiche sopra citate. In qualità di fornitore di credenziali, puoi sostituire queste classi con i tuoi builder.
  11. Costruisci un CreatePublicKeyCredentialResponse con il JSON generato sopra.
  12. Imposta CreatePublicKeyCredentialResponse come extra per un Intent tramite PendingIntentHander.setCreateCredentialResponse() e imposta questo intento sul risultato dell'attività.
  13. Completa l'attività.

L'esempio di codice seguente illustra questi passaggi. Questo codice deve essere gestito in la tua classe Attività una volta richiamato onCreate().

val request =
  PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)

val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
  val publicKeyRequest: CreatePublicKeyCredentialRequest =
    request.callingRequest as CreatePublicKeyCredentialRequest
  createPasskey(
    publicKeyRequest.requestJson,
    request.callingAppInfo,
    publicKeyRequest.clientDataHash,
    accountId
  )
}

fun createPasskey(
  requestJson: String,
  callingAppInfo: CallingAppInfo?,
  clientDataHash: ByteArray?,
  accountId: String?
) {
  val request = PublicKeyCredentialCreationOptions(requestJson)

  val biometricPrompt = BiometricPrompt(
    this,
    <executor>,
    object : BiometricPrompt.AuthenticationCallback() {
      override fun onAuthenticationError(
        errorCode: Int, errString: CharSequence
      ) {
        super.onAuthenticationError(errorCode, errString)
        finish()
      }

      override fun onAuthenticationFailed() {
        super.onAuthenticationFailed()
        finish()
      }

      override fun onAuthenticationSucceeded(
        result: BiometricPrompt.AuthenticationResult
      ) {
        super.onAuthenticationSucceeded(result)

        // Generate a credentialId
        val credentialId = ByteArray(32)
        SecureRandom().nextBytes(credentialId)

        // Generate a credential key pair
        val spec = ECGenParameterSpec("secp256r1")
        val keyPairGen = KeyPairGenerator.getInstance("EC");
        keyPairGen.initialize(spec)
        val keyPair = keyPairGen.genKeyPair()

        // Save passkey in your database as per your own implementation

        // Create AuthenticatorAttestationResponse object to pass to
        // FidoPublicKeyCredential

        val response = AuthenticatorAttestationResponse(
          requestOptions = request,
          credentialId = credentialId,
          credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
          origin = appInfoToOrigin(callingAppInfo),
          up = true,
          uv = true,
          be = true,
          bs = true,
          packageName = callingAppInfo.packageName
        )

        val credential = FidoPublicKeyCredential(
          rawId = credentialId, response = response
        )
        val result = Intent()

        val createPublicKeyCredResponse =
          CreatePublicKeyCredentialResponse(credential.json())

        // Set the CreateCredentialResponse as the result of the Activity
        PendingIntentHandler.setCreateCredentialResponse(
          result, createPublicKeyCredResponse
        )
        setResult(Activity.RESULT_OK, result)
        finish()
      }
    }
  )

  val promptInfo = BiometricPrompt.PromptInfo.Builder()
    .setTitle("Use your screen lock")
    .setSubtitle("Create passkey for ${request.rp.name}")
    .setAllowedAuthenticators(
        BiometricManager.Authenticators.BIOMETRIC_STRONG
        /* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
      )
    .build()
  biometricPrompt.authenticate(promptInfo)
}

fun appInfoToOrigin(info: CallingAppInfo): String {
  val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
  val md = MessageDigest.getInstance("SHA-256");
  val certHash = md.digest(cert)
  // This is the format for origin
  return "android:apk-key-hash:${b64Encode(certHash)}"
}

Gestire le query per le richieste di creazione di password

Per gestire le query per le richieste di creazione di password:

  • All'interno del metodo processCreateCredentialRequest() menzionato nella sezione precedente, aggiungi un'altra condizione all'interno del blocco di switch per gestire le richieste di password.
  • Durante la costruzione di BeginCreateCredentialResponse, aggiungi il CreateEntries richiesto.
  • Ogni CreateEntry deve corrispondere a un account in cui è possibile ottenere la credenziale salvato e deve avere un PendingIntent impostato insieme agli altri metadati.

L'esempio seguente illustra come implementare questi passaggi:

fun processCreateCredentialRequest(
    request: BeginCreateCredentialRequest
  ): BeginCreateCredentialResponse? {
  when (request) {
    is BeginCreatePublicKeyCredentialRequest -> {
      // Request is passkey type
      return handleCreatePasskeyQuery(request)
    }

    is BeginCreatePasswordCredentialRequest -> {
    // Request is password type
      return handleCreatePasswordQuery(request)
    }
  }
  return null
}

private fun handleCreatePasswordQuery(
    request: BeginCreatePasswordCredentialRequest
  ): BeginCreateCredentialResponse {
  val createEntries: MutableList<CreateEntry> = mutableListOf()

  // Adding two create entries - one for storing credentials to the 'Personal'
  // account, and one for storing them to the 'Family' account. These
  // accounts are local to this sample app only.
  createEntries.add(
    CreateEntry(
      PERSONAL_ACCOUNT_ID,
      createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
    )
  )
  createEntries.add(
    CreateEntry(
      FAMILY_ACCOUNT_ID,
      createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
    )
  )

  return BeginCreateCredentialResponse(createEntries)
}

Gestire la selezione delle voci per le richieste di creazione di password

Quando l'utente seleziona un valore CreateEntry compilato, i valori corrispondenti PendingIntent esegue e visualizza l'attività associata. Accedi al l'intent associato trasmesso in onCreate e lo passa alla PendingIntentHander per ottenere il metodo ProviderCreateCredentialRequest.

L'esempio seguente illustra come implementare questo processo. Questo codice deve essere gestito nel metodo onCreate() dell'attività.

val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)

val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest

// Fetch the ID and password from the request and save it in your database
<your_database>.addNewPassword(
    PasswordInfo(
        request.id,
        request.password,
        createRequest.callingAppInfo.packageName
    )
)

//Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
this@<activity>.finish()

Gestire l'accesso degli utenti

L'accesso degli utenti viene gestito con i seguenti passaggi:

  • Quando un'app client tenta di accedere a un utente, prepara una GetCredentialRequest.
  • Il framework Android propaga questa richiesta a tutte le credenziali applicabili vincolanti a questi servizi.
  • Il servizio del provider riceve quindi un BeginGetCredentialRequest che contiene un elenco di BeginGetCredentialOption, ognuno dei quali contiene parametri che per recuperare le credenziali corrispondenti.

Per gestire questa richiesta nel servizio del provider di credenziali, completa la seguenti passaggi:

  1. Sostituisci il metodo onBeginGetCredentialRequest() per gestire la richiesta. Tieni presente che se le credenziali sono bloccate, puoi impostare immediatamente AuthenticationAction nella risposta e richiamare il callback.

    private val unlockEntryTitle = "Authenticate to continue"

override fun onBeginGetCredentialRequest(
    request: BeginGetCredentialRequest,
    cancellationSignal: CancellationSignal,
    callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>,
) {
    if (isAppLocked()) {
        callback.onResult(BeginGetCredentialResponse(
            authenticationActions = mutableListOf(AuthenticationAction(
                unlockEntryTitle, createUnlockPendingIntent())
                )
            )
        )
        return
    }
    try {
        response = processGetCredentialRequest(request)
        callback.onResult(response)
    } catch (e: GetCredentialException) {
        callback.onError(GetCredentialUnknownException())
    }
}

    Fornitori che richiedono lo sblocco delle credenziali prima della restituzione qualsiasi credentialEntries, deve configurare un intent in attesa che naviga l'utente al flusso di sblocco dell'app:

    private fun createUnlockPendingIntent(): PendingIntent {
    val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME)
    return PendingIntent.getActivity(
    applicationContext, UNIQUE_REQUEST_CODE, intent, (
        PendingIntent.FLAG_MUTABLE
        or PendingIntent.FLAG_UPDATE_CURRENT
        )
    )
}

  2. Recupera le credenziali dal tuo database locale e configurale utilizzando CredentialEntries da mostrare sul selettore. Per le passkey, puoi impostare credentialId come extra sull'intent in modo da sapere quale credenziale a quando l'utente seleziona questa voce.

    companion object {
    // These intent actions are specified for corresponding activities
    // that are to be invoked through the PendingIntent(s)
    private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY"
    private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD"

}

fun processGetCredentialsRequest(
request: BeginGetCredentialRequest
): BeginGetCredentialResponse {
    val callingPackage = request.callingAppInfo?.packageName
    val credentialEntries: MutableList<CredentialEntry> = mutableListOf()

    for (option in request.beginGetCredentialOptions) {
        when (option) {
            is BeginGetPasswordOption -> {
                credentialEntries.addAll(
                        populatePasswordData(
                            callingPackage,
                            option
                        )
                    )
                }
                is BeginGetPublicKeyCredentialOption -> {
                    credentialEntries.addAll(
                        populatePasskeyData(
                            callingPackage,
                            option
                        )
                    )
                )
            } else -> {
                Log.i(TAG, "Request not supported")
            }
        }
    }
    return BeginGetCredentialResponse(credentialEntries)
}

  3. Esegui query sulle credenziali dal tuo database, crea voci di passkey e password da compilare.

    private fun populatePasskeyData(
    callingAppInfo: CallingAppInfo,
    option: BeginGetPublicKeyCredentialOption
): List<CredentialEntry> {
  val passkeyEntries: MutableList<CredentialEntry> = mutableListOf()
  val request = PublicKeyCredentialRequestOptions(option.requestJson)
  // Get your credentials from database where you saved during creation flow
  val creds = <getCredentialsFromInternalDb(request.rpId)>
  val passkeys = creds.passkeys
  for (passkey in passkeys) {
      val data = Bundle()
      data.putString("credId", passkey.credId)
      passkeyEntries.add(
          PublicKeyCredentialEntry(
              context = applicationContext,
              username = passkey.username,
              pendingIntent = createNewPendingIntent(
                  GET_PASSKEY_INTENT_ACTION,
                  data
              ),
              beginPublicKeyCredentialOption = option,
              displayName = passkey.displayName,
              icon = passkey.icon
          )
      )
  }
  return passkeyEntries
}

// Fetch password credentials and create password entries to populate to
// the user
private fun populatePasswordData(
callingPackage: String,
option: BeginGetPasswordOption
): List<CredentialEntry> {
    val passwordEntries: MutableList<CredentialEntry> = mutableListOf()

    // Get your password credentials from database where you saved during
    // creation flow
    val creds = <getCredentialsFromInternalDb(callingPackage)>
    val passwords = creds.passwords
    for (password in passwords) {
        passwordEntries.add(
            PasswordCredentialEntry(
                context = applicationContext,
                username = password.username,
                pendingIntent = createNewPendingIntent(
                GET_PASSWORD_INTENT
                ),
                beginGetPasswordOption = option
                    displayName = password.username,
                icon = password.icon
            )
        )
    }
    return passwordEntries
}

private fun createNewPendingIntent(
    action: String,
    extra: Bundle? = null
): PendingIntent {
    val intent = Intent(action).setPackage(PACKAGE_NAME)
    if (extra != null) {
        intent.putExtra("CREDENTIAL_DATA", extra)
    }

    return PendingIntent.getActivity(
        applicationContext, UNIQUE_REQUEST_CODE, intent,
        (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT)
    )
}

  4. Dopo aver eseguito la query e aver inserito le credenziali, ora devi gestire fase di selezione delle credenziali selezionate dall'utente, che è una passkey o una password.

Gestione della selezione dell'utente per le passkey

  1. Nel metodo onCreate dell'attività corrispondente, recupera l'intent associato e passalo a PendingIntentHandler.retrieveProviderGetCredentialRequest().
  2. Estrai GetPublicKeyCredentialOption dalla richiesta recuperata sopra. Successivamente, estrai requestJson e clientDataHash da questa opzione.
  3. Estrai il valore credentialId dall'extra per l'intent, che è stato compilato dal campo di credenziali al momento della configurazione del PendingIntent corrispondente.
  4. Estrai la passkey dal tuo database locale utilizzando i parametri della richiesta a cui accedi in precedenza.

  5. Dichiarare che la passkey è valida con i metadati estratti e verifica.

    val getRequest =
    PendingIntentHandler.retrieveProviderGetCredentialRequest(intent)
val publicKeyRequest =
getRequest.credentialOption as GetPublicKeyCredentialOption

val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA")
val credIdEnc = requestInfo.getString("credId")

// Get the saved passkey from your database based on the credential ID
// from the publickeyRequest
val passkey = <your database>.getPasskey(credIdEnc)

// Decode the credential ID, private key and user ID
val credId = b64Decode(credIdEnc)
val privateKey = b64Decode(passkey.credPrivateKey)
val uid = b64Decode(passkey.uid)

val origin = appInfoToOrigin(getRequest.callingAppInfo)
val packageName = getRequest.callingAppInfo.packageName

validatePasskey(
    publicKeyRequest.requestJson,
    origin,
    packageName,
    uid,
    passkey.username,
    credId,
    privateKey
)

  6. Per convalidare l'utente, visualizza un prompt biometrico (o un'altra asserzione ). Lo snippet di codice riportato di seguito utilizza l'API Android Biometric.

  7. Una volta completata l'autenticazione, crea una risposta JSON basata sul modello W3 la specifica Web Authentication Assertion. Nello snippet di codice di seguito, vengono utilizzate le classi di dati helper come AuthenticatorAssertionResponse prendere i parametri strutturati e convertirli nel file JSON richiesto formato. La risposta contiene una firma digitale dal chiave privata di una credenziale WebAuthn. Il server della terza parte attendibile può verificare questa firma per autenticare un utente prima dell'accesso.

  8. Costruisci un PublicKeyCredential utilizzando il JSON generato sopra e impostalo su un GetCredentialResponse finale. Imposta questa risposta finale su il risultato di questa attività.

Il seguente esempio illustra come implementare questi passaggi:

val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)

val biometricPrompt = BiometricPrompt(
    this,
    <executor>,
    object : BiometricPrompt.AuthenticationCallback() {
        override fun onAuthenticationError(
        errorCode: Int, errString: CharSequence
        ) {
            super.onAuthenticationError(errorCode, errString)
            finish()
        }

        override fun onAuthenticationFailed() {
            super.onAuthenticationFailed()
            finish()
        }

        override fun onAuthenticationSucceeded(
        result: BiometricPrompt.AuthenticationResult
        ) {
        super.onAuthenticationSucceeded(result)
        val response = AuthenticatorAssertionResponse(
            requestOptions = request,
            credentialId = credId,
            origin = origin,
            up = true,
            uv = true,
            be = true,
            bs = true,
            userHandle = uid,
            packageName = packageName
        )

        val sig = Signature.getInstance("SHA256withECDSA");
        sig.initSign(privateKey)
        sig.update(response.dataToSign())
        response.signature = sig.sign()

        val credential = FidoPublicKeyCredential(
            rawId = credId, response = response
        )
        val result = Intent()
        val passkeyCredential = PublicKeyCredential(credential.json)
        PendingIntentHandler.setGetCredentialResponse(
            result, GetCredentialResponse(passkeyCredential)
        )
        setResult(RESULT_OK, result)
        finish()
        }
    }
)

val promptInfo = BiometricPrompt.PromptInfo.Builder()
    .setTitle("Use your screen lock")
    .setSubtitle("Use passkey for ${request.rpId}")
    .setAllowedAuthenticators(
            BiometricManager.Authenticators.BIOMETRIC_STRONG
            /* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
        )
    .build()
biometricPrompt.authenticate(promptInfo)

Gestione della selezione dell'utente per l'autenticazione tramite password

  1. Nell'attività corrispondente, accedi all'intent trasmesso a onCreate ed estrai l'elemento ProviderGetCredentialRequest utilizzando PendingIntentHandler.

  2. Utilizza GetPasswordOption nella richiesta per recuperare le credenziali della password per il nome del pacchetto in entrata.

    val getRequest =
PendingIntentHandler.retrieveProviderGetCredentialRequest(intent)

val passwordOption = getRequest.credentialOption as GetPasswordCredentialOption

val username = passwordOption.username
// Fetch the credentials for the calling app package name
val creds = <your_database>.getCredentials(callingAppInfo.packageName)
val passwords = creds.passwords
val it = passwords.iterator()
var password = ""
while (it.hasNext() == true) {
    val passwordItemCurrent = it.next()
    if (passwordItemCurrent.username == username) {
       password = passwordItemCurrent.password
       break
    }
}

  3. Una volta recuperata, imposta la risposta per la credenziale della password selezionata.

    // Set the response back
val result = Intent()
val passwordCredential = PasswordCredential(username, password)
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passwordCredential)
)
setResult(Activity.RESULT_OK, result)
finish()

Gestire la selezione di una voce di azione di autenticazione

Come indicato in precedenza, un fornitore di credenziali può impostare un AuthenticationAction se le credenziali sono bloccate. Se l'utente seleziona questa opzione , l'attività corrispondente all'azione intent impostata nella PendingIntent è richiamato. I fornitori di credenziali possono quindi mostrare un modello flusso di autenticazione o un meccanismo simile per sbloccare le credenziali. In caso di esito positivo, il fornitore di credenziali deve creare un BeginGetCredentialResponse, in modo simile a come è descritto sopra il trattamento dell'accesso utente, poiché le credenziali sono ora sbloccate. Questa risposta deve essere impostata tramite il metodo PendingIntentHandler.setBeginGetCredentialResponse() prima che l'intent preparato venga impostato come risultato e l'attività sia completata.

Cancellare le richieste di credenziali

Un'app client potrebbe richiedere che qualsiasi stato mantenuto per la selezione delle credenziali debba essere cancellato, ad esempio un fornitore di credenziali potrebbe ricordare la credenziale selezionata in precedenza e restituirla solo la volta successiva. Un'app client chiama questa API prevede che la selezione persistente venga cancellata. Il servizio del provider di credenziali può gestire questa richiesta sostituendo il metodo onClearCredentialStateRequest():

override fun onClearCredentialStateRequest(
    request: android.service.credentials.ClearCredentialStateRequest,
    cancellationSignal: CancellationSignal,
    callback: OutcomeReceiver<Void?, ClearCredentialException>,
  ) {
    // Delete any maintained state as appropriate.
}

Per consentire agli utenti di aprire le impostazioni del provider dalla schermata Password, passkey e Riempimento automatico, le app del provider di credenziali devono implementare l'attributo manifest credential-provider settingsActivity in res/xml/provider.xml. Questo attributo ti consente di utilizzare un'intent per aprire la schermata delle impostazioni della tua app se un utente fa clic sul nome di un fornitore nell'elenco di servizi Password, passkey e compilazione automatica. Imposta il valore di questo attributo sul nome dell'attività da avviare dalla schermata delle impostazioni.

<credential-provider
    xmlns:android="http://schemas.android.com/apk/res/android"
    android:settingsSubtitle="Example settings provider name"
    android:settingsActivity="com.example.SettingsActivity">
    <capabilities>
        <capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
    </capabilities>
</credential-provider>
Diagramma che mostra le funzioni dei pulsanti di modifica e apertura
Figura 1: il pulsante Cambia apre la finestra di dialogo di selezione esistente, consentendo all'utente di selezionare il fornitore di credenziali preferito. Il pulsante Apri avvia l'attività relativa alle impostazioni definita nella modifica del manifest e apre una pagina di impostazioni specifica per tale o il tuo provider di servizi di terze parti.

Intent impostazioni

Apri le impostazioni: la android.settings.CREDENTIAL_PROVIDER per intent viene visualizzata una schermata di impostazioni in cui l'utente può selezionare di altri provider di credenziali.

Schermata delle impostazioni relative a password, passkey e compilazione automatica
Figura 2: la schermata delle impostazioni di password, passkey e compilazione automatica.

Servizio di credenziali preferito: l'intent ACTION_REQUEST_SET_AUTOFILL_SERVICE reindirizza l'utente alla schermata di selezione del fornitore preferito. Il fornitore selezionato in questa schermata diventa il fornitore di credenziali e compilazione automatica preferito.

Diagramma che mostra le funzioni dei pulsanti di modifica e apertura
Figura 3: la schermata Servizio preferito per password, passkey e impostazioni di compilazione automatica.

Ottenere una lista consentita di app con privilegi

Le app con privilegi, come i browser web, effettuano chiamate a Gestore delle credenziali per conto di altre parti attendibili impostando il parametro origin nei metodi Gestore delle credenziali GetCredentialRequest() e CreatePublicKeyCredentialRequest(). Per elaborare queste richieste, il provider di credenziali recupera origin utilizzando getOrigin() tramite Google Cloud CLI o tramite l'API Compute Engine.

Per recuperare il token origin, l'app del provider di credenziali deve passare all'API androidx.credentials.provider.CallingAppInfo's getOrigin() un elenco di chiamanti privilegiati e attendibili. Questa lista consentita deve essere un oggetto JSON valido. origin viene restituito se packageName e le fingerprint del certificato ottenute da signingInfo corrispondono a quelle di un'app rilevato in privilegedAllowlist passato all'API getOrigin(). Una volta ottenuto il valore origin, l'app provider deve considerarlo una chiamata privilegiata e impostare questo origin sui dati del client in AuthenticatorResponse, anziché calcolare origin utilizzando la firma dell'app chiamante.

Se recuperi un origin, utilizza il clientDataHash fornito direttamente in CreatePublicKeyCredentialRequest() o GetPublicKeyCredentialOption() anziché assemblare e sottoporre ad hashing clientDataJSON durante la richiesta di firma. Per evitare problemi di analisi JSON, imposta un valore segnaposto per clientDataJSON nella risposta di attestazione e affermazione. Gestore delle password di Google usa una lista consentita apertamente disponibile per chiamate a getOrigin(). In qualità di fornitore di credenziali, puoi utilizzare questo elenco o fornire il tuo nel formato JSON descritto dall'API. Spetta al fornitore selezionare l'elenco da utilizzare. Per ottenere l’accesso privilegiato con terze parti di credenziali, fare riferimento alla documentazione fornita dalla terza parte.

Abilitare i fornitori su un dispositivo

Gli utenti devono attivare il fornitore tramite impostazioni del dispositivo > Password e account > Il tuo fornitore > Attiva o disattiva.

fun createSettingsPendingIntent(): PendingIntent