Credential Manager to zestaw interfejsów API wprowadzonych w Androidzie 14, które obsługują wiele metod logowania, takich jak nazwa użytkownika i hasło, klucze dostępu i rozwiązania logowania sfederowanego (np. Zaloguj się przez Google). Po wywołaniu interfejsu Credential Manager API system Android gromadzi dane logowania od wszystkich dostawców danych logowania zainstalowanych na urządzeniu. Ten dokument opisuje zestaw interfejsów API, które udostępniają punkty końcowe integracji dla tych dostawców danych logowania.
Konfiguracja
Zanim zaimplementujesz funkcje w dostawcy danych logowania, wykonaj czynności konfiguracyjne opisane w następnych sekcjach.
Deklarowanie zależności
W pliku build.gradle modułu zadeklaruj zależność, używając najnowszej wersji biblioteki Menedżera danych logowania:
implementation "androidx.credentials:credentials:1.2.0-{latest}"
Zadeklaruj element usługi w pliku manifestu
W pliku manifestu aplikacji AndroidManifest.xml umieść deklarację <service> klasy usługi, która rozszerza klasę CredentialProviderService z biblioteki androidx.credentials, jak pokazano w poniższym przykładzie.
<service android:name=".MyCredentialProviderService"
android:enabled="true"
android:exported="true"
android:label="My Credential Provider"
android:icon="<any drawable icon>"
android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE">
<intent-filter>
<action android:name="android.service.credentials.CredentialProviderService"/>
</intent-filter>
<meta-data
android:name="android.credentials.provider"
android:resource="@xml/provider"/>
</service>
Powyższe uprawnienia i filtr intencji są niezbędne, aby proces menedżera danych logowania działał zgodnie z oczekiwaniami. To uprawnienie jest potrzebne, aby z tą usługą mogło się powiązać tylko system Android. Filtr intencji służy do wykrywania tej usługi jako dostawcy poświadczeń, której będzie używać Menedżer poświadczeń.
Deklarowanie obsługiwanych typów danych logowania
W katalogu res/xml utwórz nowy plik o nazwie provider.xml. W tym pliku zadeklaruj typy danych logowania obsługiwane przez usługę, za pomocą stałych zdefiniowanych dla każdego typu danych logowania w bibliotece. W tym przykładzie usługa obsługuje tradycyjne hasła, a także klucze dostępu, których stałe wartości są zdefiniowane jako TYPE_PASSWORD_CREDENTIAL i TYPE_PUBLIC_KEY_CREDENTIAL:
<?xml version="1.0" encoding="utf-8"?>
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
<capabilities>
<capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
<capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
Na poprzednich poziomach interfejsów API dostawcy danych uwierzytelniających integrują się z interfejsami API, takimi jak autouzupełnianie haseł i innych danych. Dostawcy ci mogą używać tej samej wewnętrznej infrastruktury do przechowywania dotychczasowych typów danych logowania, a jednocześnie rozszerzać ją na obsługę innych, w tym kluczy dostępu.
Interakcja z dostawcą w 2 etapach
Menedżer danych uwierzytelniających współpracuje z dostawcami danych uwierzytelniających w 2 etapach:
- Pierwsza faza to faza rozpoczęcia/zapytania, w której system łączy się z usługami dostawcy danych logowania i wywołuje metody
onBeginGetCredentialRequest(),onBeginCreateCredentialRequest()lubonClearCredentialStateRequest()z żądaniamiBegin…. Dostawcy muszą przetworzyć te żądania i odpowiedzieć na nie odpowiedziamiBegin…, zapełniając je wpisami reprezentującymi opcje wizualne, które będą wyświetlane w selektorze kont. Każdy wpis musi mieć ustawioną wartośćPendingIntent. - Gdy użytkownik wybierze pozycję, rozpoczyna się faza wyboru i wyzwala się
PendingIntentpowiązany z nią, uruchamiając odpowiednią aktywność dostawcy. Gdy użytkownik zakończy interakcję z tym działaniem, dostawca danych uwierzytelniających musi ustawić odpowiedź na wynik działania przed jego zakończeniem. Ta odpowiedź jest następnie wysyłana do aplikacji klienta, która wywołała Menedżera danych logowania.
Tworzenie klucza dostępu
Obsługa zapytań dotyczących tworzenia kluczy dostępu
Gdy aplikacja klienta chce utworzyć klucz dostępu i przechowywać go u dostawcy danych logowania, wywołuje interfejs API createCredential. Aby obsłużyć to żądanie w usłudze dostawcy danych logowania, tak aby klucz dostępu był faktycznie przechowywany w Twoim magazynie, wykonaj czynności opisane w następnych sekcjach.
- Zastąp metodę
onBeginCreateCredentialRequest()w usłudze rozszerzonej zCredentialProviderService. - Obsługuj obiekt
BeginCreateCredentialRequest, tworząc odpowiedni elementBeginCreateCredentialResponsei przekazując go przez wywołanie zwrotne. - Podczas tworzenia funkcji
BeginCreateCredentialResponsedodaj wymaganą wartośćCreateEntries. Każdy elementCreateEntrypowinien odpowiadać kontu, na którym można zapisać dane logowania. Musisz też podać wartość elementuPendingIntentwraz z innymi wymaganymi metadanymi.
Przykład poniżej pokazuje, jak wdrożyć te kroki.
override fun onBeginCreateCredentialRequest(
request: BeginCreateCredentialRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
if (response != null) {
callback.onResult(response)
} else {
callback.onError(CreateCredentialUnknownException())
}
}
fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
}
// Request not supported
return null
}
private fun handleCreatePasskeyQuery(
request: BeginCreatePublicKeyCredentialRequest
): BeginCreateCredentialResponse {
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
val createEntries: MutableList<CreateEntry> = mutableListOf()
createEntries.add( CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
createEntries.add( CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
return BeginCreateCredentialResponse(createEntries)
}
private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
val intent = Intent(action).setPackage(PACKAGE_NAME)
// Add your local account ID as an extra to the intent, so that when
// user selects this entry, the credential can be saved to this
// account
intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)
return PendingIntent.getActivity(
applicationContext, UNIQUE_REQ_CODE,
intent, (
PendingIntent.FLAG_MUTABLE
or PendingIntent.FLAG_UPDATE_CURRENT
)
)
}
Twoja konstrukcja PendingIntent powinna spełniać te wymagania:
- Odpowiednia aktywność powinna być skonfigurowana tak, aby wyświetlać wymagane prompty biometryczne, potwierdzenia lub wybory.
- Wszystkie wymagane dane, których dostawca potrzebuje przy wywołaniu odpowiedniego działania, powinny być ustawione jako dodatkowe w intencji użytej do utworzenia obiektu
PendingIntent, np.accountIdw procesie tworzenia. - Wartość
PendingIntentmusi być skonstruowana z flagąPendingIntent.FLAG_MUTABLE, aby system mógł dołączyć ostateczne żądanie do rozszerzenia intencji. - Funkcja
PendingIntentnie może być zbudowana z flagąPendingIntent.FLAG_ONE_SHOT, ponieważ użytkownik może wybrać wpis, wrócić i ponownie go wybrać, co spowoduje, że funkcjaPendingIntentzostanie wywołana dwukrotnie. - Wartość
PendingIntentmusi być tworzona za pomocą unikalnego kodu żądania, aby każdy wpis miał odpowiadającą mu wartośćPendingIntent.
Obsługa wyboru wpisu w przypadku próśb o utworzenie klucza dostępu
- Gdy użytkownik wybierze wypełnioną wcześniej wartość
CreateEntry, wywoływana jest odpowiadająca jej wartośćPendingIntenti tworzy się powiązany dostawcaActivity. - Po wywołaniu metody
onCreatew Twojej aktywności uzyskaj dostęp do powiązanego zamiaru i przekaż go do klasyPendingIntentHander, aby uzyskaćProviderCreateCredentialRequest. - Wyodrębnij z prośby wartości
requestJson,callingAppInfoiclientDataHash. - Wyodrębnij lokalny element
accountIdz dodatkowej intencji. To przykładowa implementacja w aplikacji, która nie jest wymagana. Można go używać do przechowywania danych logowania dla danego identyfikatora konta. - Zweryfikuj
requestJson. W przykładzie poniżej użyto klas danych lokalnych, takich jakPublicKeyCredentialCreationOptions, do konwersji wejściowej klasy danych JSON na klasę ustrukturyzowaną zgodnie ze specyfikacją WebAuthn. Jako dostawca danych logowania możesz zastąpić te dane własnym parserem. - Sprawdź asset-link aplikacji wywołującej, jeśli połączenie pochodzi z natywnej aplikacji na Androida.
- wyświetlać prośbę o uwierzytelnienie, W przykładzie poniżej użyliśmy interfejsu API Biometric na Androidzie.
- Gdy uwierzytelnianie się powiedzie, wygeneruj
credentialIdi parę kluczy. - Zapisz klucz prywatny w lokalnej bazie danych na serwerze
callingAppInfo.packageName. - Utwórz odpowiedź Web Authentication API w formacie JSON, która składa się z klucza publicznego i
credentialId. W przykładzie poniżej użyto klas lokalnych narzędzi, takich jakAuthenticatorAttestationResponseiFidoPublicKeyCredential, które pomagają utworzyć plik JSON na podstawie wspomnianych wcześniej specyfikacji.Jako dostawca danych logowania możesz zastępować te klasy własnymi kreatorami. - Utwórz obiekt
CreatePublicKeyCredentialResponse, korzystając z wygenerowanego powyżej pliku JSON. - Ustaw
CreatePublicKeyCredentialResponsejako dodatek doIntentza pomocąPendingIntentHander.setCreateCredentialResponse()i ustaw ten zamiar jako wynik aktywności. - Dokończ ćwiczenie.
Przykładowy kod poniżej ilustruje te kroki. Ten kod musi być obsługiwany w klasie Activity po wywołaniu onCreate().
val request =
PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
val publicKeyRequest: CreatePublicKeyCredentialRequest =
request.callingRequest as CreatePublicKeyCredentialRequest
createPasskey(
publicKeyRequest.requestJson,
request.callingAppInfo,
publicKeyRequest.clientDataHash,
accountId
)
}
fun createPasskey(
requestJson: String,
callingAppInfo: CallingAppInfo?,
clientDataHash: ByteArray?,
accountId: String?
) {
val request = PublicKeyCredentialCreationOptions(requestJson)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
// Generate a credentialId
val credentialId = ByteArray(32)
SecureRandom().nextBytes(credentialId)
// Generate a credential key pair
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC");
keyPairGen.initialize(spec)
val keyPair = keyPairGen.genKeyPair()
// Save passkey in your database as per your own implementation
// Create AuthenticatorAttestationResponse object to pass to
// FidoPublicKeyCredential
val response = AuthenticatorAttestationResponse(
requestOptions = request,
credentialId = credentialId,
credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
origin = appInfoToOrigin(callingAppInfo),
up = true,
uv = true,
be = true,
bs = true,
packageName = callingAppInfo.packageName
)
val credential = FidoPublicKeyCredential(
rawId = credentialId, response = response
)
val result = Intent()
val createPublicKeyCredResponse =
CreatePublicKeyCredentialResponse(credential.json())
// Set the CreateCredentialResponse as the result of the Activity
PendingIntentHandler.setCreateCredentialResponse(
result, createPublicKeyCredResponse
)
setResult(Activity.RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Create passkey for ${request.rp.name}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
}
fun appInfoToOrigin(info: CallingAppInfo): String {
val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
val md = MessageDigest.getInstance("SHA-256");
val certHash = md.digest(cert)
// This is the format for origin
return "android:apk-key-hash:${b64Encode(certHash)}"
}
Obsługa zapytań dotyczących próśb o utworzenie hasła
Aby obsłużyć zapytania dotyczące żądań utworzenia hasła:
- We wspomnianej w poprzedniej sekcji metodzie
processCreateCredentialRequest()dodaj kolejną wielkość liter w obrębie bloku przełącznika do obsługi żądań haseł. - Podczas tworzenia
BeginCreateCredentialResponsedodaj wymaganeCreateEntries. - Każdy element
CreateEntrypowinien odpowiadać kontu, na którym można zapisać dane logowania, oraz musi mieć ustawiony elementPendingIntentwraz z innymi metadanymi.
Przykład poniżej pokazuje, jak wdrożyć te kroki:
fun processCreateCredentialRequest(
request: BeginCreateCredentialRequest
): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
is BeginCreatePasswordCredentialRequest -> {
// Request is password type
return handleCreatePasswordQuery(request)
}
}
return null
}
private fun handleCreatePasswordQuery(
request: BeginCreatePasswordCredentialRequest
): BeginCreateCredentialResponse {
val createEntries: MutableList<CreateEntry> = mutableListOf()
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
Obsługa wyboru wpisów w przypadku próśb o utworzenie hasła
Gdy użytkownik wybierze wypełnioną CreateEntry, zostanie uruchomiona odpowiadająca jej PendingIntent i wyświetlona powiązana aktywność. Uzyskaj dostęp do powiązanego zamiaru przekazanego w onCreate i przekaż go do klasy PendingIntentHander, aby uzyskać metodę ProviderCreateCredentialRequest.
Przykład poniżej pokazuje, jak wdrożyć ten proces. Ten kod musi być obsługiwany w metodzie onCreate() aktywności.
val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest
// Fetch the ID and password from the request and save it in your database
<your_database>.addNewPassword(
PasswordInfo(
request.id,
request.password,
createRequest.callingAppInfo.packageName
)
)
//Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
this@<activity>.finish()
Obsługa logowania użytkowników
Logowanie użytkownika odbywa się w taki sposób:
- Gdy aplikacja klienta próbuje zalogować użytkownika, przygotowuje wystąpienie
GetCredentialRequest. - Platforma Androida przekazuje to żądanie wszystkim odpowiednim dostawcom danych logowania, łącząc się z tymi usługami.
- Usługa dostawcy otrzyma następnie żądanie
BeginGetCredentialRequestzawierające listęBeginGetCredentialOption, z których każdy zawiera parametry umożliwiające pobranie pasujących danych uwierzytelniających.
Aby obsłużyć to żądanie w usłudze dostawcy danych logowania:
Przesłonij metodę
onBeginGetCredentialRequest(), aby obsłużyć żądanie. Pamiętaj, że jeśli dane logowania są zablokowane, możesz od razu ustawićAuthenticationActionw odpowiedzi i wywołać wywołanie zwrotne.private val unlockEntryTitle = "Authenticate to continue" override fun onBeginGetCredentialRequest( request: BeginGetCredentialRequest, cancellationSignal: CancellationSignal, callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>, ) { if (isAppLocked()) { callback.onResult(BeginGetCredentialResponse( authenticationActions = mutableListOf(AuthenticationAction( unlockEntryTitle, createUnlockPendingIntent()) ) ) ) return } try { response = processGetCredentialRequest(request) callback.onResult(response) } catch (e: GetCredentialException) { callback.onError(GetCredentialUnknownException()) } }Dostawcy, którzy wymagają odblokowania danych logowania przed zwróceniem wartości
credentialEntries, muszą skonfigurować intencję oczekującą, która przekieruje użytkownika do procesu odblokowywania w aplikacji:private fun createUnlockPendingIntent(): PendingIntent { val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME) return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, ( PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT ) ) }Pobierz dane logowania z lokalnej bazy danych i skonfiguruj je za pomocą
CredentialEntries, aby były widoczne w selektorze. W przypadku kluczy dostępu możesz ustawićcredentialIdjako dodatek do intencji, aby wiedzieć, na które dane logowania jest mapowana, gdy użytkownik wybierze ten wpis.companion object { // These intent actions are specified for corresponding activities // that are to be invoked through the PendingIntent(s) private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY" private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD" } fun processGetCredentialsRequest( request: BeginGetCredentialRequest ): BeginGetCredentialResponse { val callingPackage = request.callingAppInfo?.packageName val credentialEntries: MutableList<CredentialEntry> = mutableListOf() for (option in request.beginGetCredentialOptions) { when (option) { is BeginGetPasswordOption -> { credentialEntries.addAll( populatePasswordData( callingPackage, option ) ) } is BeginGetPublicKeyCredentialOption -> { credentialEntries.addAll( populatePasskeyData( callingPackage, option ) ) ) } else -> { Log.i(TAG, "Request not supported") } } } return BeginGetCredentialResponse(credentialEntries) }Wykonuj zapytania o dane logowania z bazy danych, twórz wpisy z kluczem dostępu i hasłem, aby je wypełnić.
private fun populatePasskeyData( callingAppInfo: CallingAppInfo, option: BeginGetPublicKeyCredentialOption ): List<CredentialEntry> { val passkeyEntries: MutableList<CredentialEntry> = mutableListOf() val request = PublicKeyCredentialRequestOptions(option.requestJson) // Get your credentials from database where you saved during creation flow val creds = <getCredentialsFromInternalDb(request.rpId)> val passkeys = creds.passkeys for (passkey in passkeys) { val data = Bundle() data.putString("credId", passkey.credId) passkeyEntries.add( PublicKeyCredentialEntry( context = applicationContext, username = passkey.username, pendingIntent = createNewPendingIntent( GET_PASSKEY_INTENT_ACTION, data ), beginPublicKeyCredentialOption = option, displayName = passkey.displayName, icon = passkey.icon ) ) } return passkeyEntries } // Fetch password credentials and create password entries to populate to // the user private fun populatePasswordData( callingPackage: String, option: BeginGetPasswordOption ): List<CredentialEntry> { val passwordEntries: MutableList<CredentialEntry> = mutableListOf() // Get your password credentials from database where you saved during // creation flow val creds = <getCredentialsFromInternalDb(callingPackage)> val passwords = creds.passwords for (password in passwords) { passwordEntries.add( PasswordCredentialEntry( context = applicationContext, username = password.username, pendingIntent = createNewPendingIntent( GET_PASSWORD_INTENT ), beginGetPasswordOption = option displayName = password.username, icon = password.icon ) ) } return passwordEntries } private fun createNewPendingIntent( action: String, extra: Bundle? = null ): PendingIntent { val intent = Intent(action).setPackage(PACKAGE_NAME) if (extra != null) { intent.putExtra("CREDENTIAL_DATA", extra) } return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT) ) }Po przesłaniu zapytania i wypełnieniu danych logowania musisz teraz obsłużyć fazę wyboru danych logowania wybranych przez użytkownika, niezależnie od tego, czy są to klucze dostępu czy hasła.
Obsługa wyboru użytkowników w przypadku kluczy dostępu
- W metodzie
onCreateodpowiedniej aktywności pobierz powiązany zamiar i przekaż go doPendingIntentHandler.retrieveProviderGetCredentialRequest(). - Wyodrębnij z powyższego zapytania parametr
GetPublicKeyCredentialOption. Następnie wyodrębnij z tej opcji wartościrequestJsoniclientDataHash. - Wyodrębnij
credentialIdz intent extra, który został wypełniony przez dostawcę danych logowania podczas konfigurowania odpowiedniegoPendingIntent. - Wyodrębnij klucz dostępu z bazy danych lokalnej, korzystając z parametrów żądania opisanych powyżej.
Upewnij się, że klucz dostępu jest prawidłowy, na podstawie wyodrębnionych metadanych i weryfikacji użytkownika.
val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val publicKeyRequest = getRequest.credentialOption as GetPublicKeyCredentialOption val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA") val credIdEnc = requestInfo.getString("credId") // Get the saved passkey from your database based on the credential ID // from the publickeyRequest val passkey = <your database>.getPasskey(credIdEnc) // Decode the credential ID, private key and user ID val credId = b64Decode(credIdEnc) val privateKey = b64Decode(passkey.credPrivateKey) val uid = b64Decode(passkey.uid) val origin = appInfoToOrigin(getRequest.callingAppInfo) val packageName = getRequest.callingAppInfo.packageName validatePasskey( publicKeyRequest.requestJson, origin, packageName, uid, passkey.username, credId, privateKey )Aby zweryfikować użytkownika, wyświetlaj prompt biometryczny (lub inną metodę asercji). Fragment kodu poniżej korzysta z interfejsu API Android Biometric.
Po pomyślnym uwierzytelnieniu zbuduj odpowiedź JSON na podstawie specyfikacji W3 Web Authentication Assertion. W poniżej zamieszczonym fragmencie kodu klasy danych pomocniczych, takie jak
AuthenticatorAssertionResponse, służą do przyjmowania parametrów uporządkowanych i konwertowania ich do wymaganego formatu JSON. Odpowiedź zawiera podpis cyfrowy z klucza prywatnego danych logowania WebAuthn. Serwer strony uwierzytelniającej może zweryfikować to podpis, aby uwierzytelnić użytkownika przed zalogowaniem.Utwórz
PublicKeyCredentialza pomocą wygenerowanego powyżej kodu JSON i ustaw go na końcowymGetCredentialResponse. Ustaw tę ostateczną odpowiedź na podstawie wyniku tej aktywności.
Poniższy przykład pokazuje, jak można wdrożyć te kroki:
val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
val response = AuthenticatorAssertionResponse(
requestOptions = request,
credentialId = credId,
origin = origin,
up = true,
uv = true,
be = true,
bs = true,
userHandle = uid,
packageName = packageName
)
val sig = Signature.getInstance("SHA256withECDSA");
sig.initSign(privateKey)
sig.update(response.dataToSign())
response.signature = sig.sign()
val credential = FidoPublicKeyCredential(
rawId = credId, response = response
)
val result = Intent()
val passkeyCredential = PublicKeyCredential(credential.json)
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passkeyCredential)
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Use passkey for ${request.rpId}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
Obsługa wyboru użytkownika w przypadku uwierzytelniania za pomocą hasła
- W odpowiedniej aktywności uzyskaj dostęp do intencji przekazywanej do funkcji
onCreatei wyodrębnijProviderGetCredentialRequestza pomocą parametruPendingIntentHandler. Użyj parametru
GetPasswordOptionw żądaniu, aby pobrać poświadczenia logowania z hasłem dla nazwy przychodzącego pakietu.val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val passwordOption = getRequest.credentialOption as GetPasswordCredentialOption val username = passwordOption.username // Fetch the credentials for the calling app package name val creds = <your_database>.getCredentials(callingAppInfo.packageName) val passwords = creds.passwords val it = passwords.iterator() var password = "" while (it.hasNext() == true) { val passwordItemCurrent = it.next() if (passwordItemCurrent.username == username) { password = passwordItemCurrent.password break } }Po pobraniu ustaw odpowiedź dla wybranych danych logowania.
// Set the response back val result = Intent() val passwordCredential = PasswordCredential(username, password) PendingIntentHandler.setGetCredentialResponse( result, GetCredentialResponse(passwordCredential) ) setResult(Activity.RESULT_OK, result) finish()
Obsługa wyboru wpisu działania uwierzytelniania
Jak wspomniano wcześniej, dostawca danych logowania może ustawić parametr AuthenticationAction, jeśli dane są zablokowane. Jeśli użytkownik wybierze tę pozycję, aktywuje się aktywność odpowiadającą działaniu intencji określonemu w PendingIntent. Dostawcy danych logowania mogą wyświetlić proces uwierzytelniania biometrycznego lub podobny mechanizm, aby odblokować dane logowania. W przypadku powodzenia dostawca danych logowania musi utworzyć BeginGetCredentialResponse, podobnie jak w przypadku obsługi logowania użytkownika opisanej powyżej, ponieważ dane logowania są teraz odblokowane. Następnie musisz ustawić tę odpowiedź za pomocą metody PendingIntentHandler.setBeginGetCredentialResponse(), zanim przygotowany zamiar zostanie ustawiony jako wynik, a działanie zostanie zakończone.
Wyczyszczenie żądań dotyczących danych logowania
Aplikacja kliencka może poprosić o usunięcie każdego stanu utrzymywanego na potrzeby wyboru danych logowania, np. dostawca danych uwierzytelniających może zapamiętać wcześniej wybrane dane logowania i zwrócić je tylko następnym razem. Aplikacja klienta wywołuje ten interfejs API i oczekuje, że ta trwała pozycja zostanie wyczyszczona. Usługa dostawcy danych uwierzytelniających może obsłużyć to żądanie, zastępując metodę onClearCredentialStateRequest():
override fun onClearCredentialStateRequest(
request: android.service.credentials.ClearCredentialStateRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<Void?, ClearCredentialException>,
) {
// Delete any maintained state as appropriate.
}
Dodaj możliwość linkowania do strony ustawień dostawcy
Aby umożliwić użytkownikom otwieranie ustawień dostawcy na ekranie Hasła, klucze dostępu i autouzupełnianie, aplikacje dostawcy danych uwierzytelniających powinny zaimplementować atrybut manifestu credential-provider settingsActivity w res/xml/provider.xml. Ten atrybut umożliwia użycie intencjonalnego wywołania do otwarcia ekranu ustawień aplikacji, jeśli użytkownik kliknie nazwę dostawcy na liście usług Hasła, klucze dostępu i automatyczne wypełnianie. Ustaw dla tego atrybutu nazwę aktywności, która ma być uruchamiana na ekranie ustawień.
<credential-provider
xmlns:android="http://schemas.android.com/apk/res/android"
android:settingsSubtitle="Example settings provider name"
android:settingsActivity="com.example.SettingsActivity">
<capabilities>
<capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
Zamiary dotyczące ustawień
Otwórz ustawienia: próba android.settings.CREDENTIAL_PROVIDER powoduje wyświetlenie ekranu ustawień, na którym użytkownik może wybrać preferowanych i dodatkowych dostawców danych uwierzytelniających.
Usługa preferowanych danych logowania: instrukcja ACTION_REQUEST_SET_AUTOFILL_SERVICE przekierowuje użytkownika do ekranu wyboru preferowanego dostawcy. Wybrany na tym ekranie dostawca stanie się preferowanym dostawcą danych uwierzytelniających i autouzupełniania.
Uzyskiwanie listy dozwolonych aplikacji z przywilejami
Aplikacje z podwyższonymi uprawnieniami, takie jak przeglądarki internetowe, wykonują wywołania Menedżera danych logowania w imieniu innych podmiotów uzależnionych przez ustawienie parametru origin w metodach GetCredentialRequest() i CreatePublicKeyCredentialRequest() w menedżerze danych logowania. Aby przetworzyć te żądania, dostawca danych logowania pobiera dane origin za pomocą interfejsu API getOrigin().
Aby pobrać origin, aplikacja dostawcy danych logowania musi przekazać do interfejsu androidx.credentials.provider.CallingAppInfo's getOrigin() listę uprzywilejowanych i zaufanych wywołujących. Ta lista dozwolonych musi być prawidłowym obiektem JSON. origin jest zwracany, jeśli packageName i odciski cyfrowe certyfikatów uzyskane z signingInfo są zgodne z odciskami cyfrowymi aplikacji znajdującej się w privilegedAllowlist przekazywanym do interfejsu API getOrigin(). Po uzyskaniu wartości origin aplikacja dostawcy powinna uznać to za wywołanie z przywilejami i ustawić wartość origin w danych klienta w AuthenticatorResponse, zamiast obliczać wartość origin za pomocą podpisu wywołującej aplikacji.
Jeśli pobierasz origin, zamiast składać i zaszyfrowaćclientDataJSON w żądaniu podpisu użyj clientDataHash dostarczonego bezpośrednio w CreatePublicKeyCredentialRequest() lub GetPublicKeyCredentialOption(). Aby uniknąć problemów z analizą pliku JSON, w odpowiedzi na żądanie dotyczące potwierdzenia i oświadczenia ustaw wartość zastępczą dla clientDataJSON.
Menedżer haseł Google używa publicznie dostępnej listy dozwolonych w przypadku wywołań funkcji getOrigin(). Jako dostawca danych logowania możesz użyć tej listy lub podać własną w formacie JSON opisanym przez interfejs API. Dostawca sam wybiera, której listy używać. Aby uzyskać dostęp uprzywilejowany za pomocą danych logowania od zewnętrznego dostawcy, zapoznaj się z dokumentacją udostępnioną przez tego dostawcę.
Włącz dostawców na urządzeniu
Użytkownicy muszą włączyć dostawcę w sekcji Ustawienia urządzenia > Hasła i konta > Twój dostawca > Włącz lub wyłącz.
fun createSettingsPendingIntent(): PendingIntent