专栏首页青蛙要fly的专栏项目需求讨论- 让APP知道是用哪个指纹来支付和解锁

项目需求讨论- 让APP知道是用哪个指纹来支付和解锁

以前我写过相关的指纹解锁的文章:

传送门: 项目需求讨论-APP手势解锁及指纹解锁 那时候做的APP解锁是调用系统的指纹解锁功能,同时,进行指纹验证的时候,只要是手机中录制过的指纹,然后在指纹验证过程中就会认为认证成功。但仅仅这样,很难满足一些验证要求比较高的APP,比如支付类型的APP。不然我不是本人。我是女朋友啊,或者谁,我在你手机里有个指纹,为了方便解锁屏。又或者,一般朋友玩你的手机,问你锁屏密码,你也会说出来,毕竟想想是锁屏密码,然后去设置里面添加指纹也只需要锁屏密码,这时候那个朋友偷偷去录了个自己的指纹,岂不是你的指纹验证就形同虚设了。岂不是也就马上掌握你的支付账户了。

我来说下支付宝的指纹相关方式:

前提:我手机上有左右大拇指的指纹已经录制好了

  1. 你到支付宝的设置界面,开启指纹支付功能,这时候会跳出弹框,让你验证指纹:

这时候如果我用右边的指纹来进行验证,这时候指纹验证通过了。就让你进行密码验证,证明你这个指纹的人同时也是知道密码的。

你输入完正确的密码后,算是正式的绑定上了。就代表你这个指纹具有相应的支付功能。

  1. 到了支付界面,我们用右手拇指去支付,OK,肯定是没问题的,如果这时候我故意用左手的拇指去支付,会出错:

那就说明,我们的指纹具有一个id值,能让服务器那边知道当前这个指纹是不是我们绑定的指纹。

顺便提一句,ios我试了下,当你在手机添加了一个指纹后,他就会不让你进行支付,比如我们原来是右手拇指支付的,当你添加一个新的指纹后,就算你用右手指纹去付钱,也不行,所以这里我认为ios是监听了系统指纹的变化情况,比如新增了指纹。而不仅仅单纯是判断到底具体是哪一个指纹


这个但是我们知道我们指纹验证通过的都是系统底层的API,我们的API最后返回验证结果给我们的内容中,是否带有相关的参数,我们可以继续往下看:

在我的文章 项目需求讨论-APP手势解锁及指纹解锁 我提过,最后指纹验证通过是回调:

@Override
public void onAuthenticationSucceeded(FingerprintManager.AuthenticationResult result) {
    .....
    .....
    .....
}复制代码

我们可以看到指纹验证通过后的回调方法参数是FingerprintManager.AuthenticationResult,我们再来看下这个类

public static class AuthenticationResult {
    private Fingerprint mFingerprint;
    private CryptoObject mCryptoObject;

    /**
     * Authentication result
     *
     * @param crypto the crypto object
     * @param fingerprint the recognized fingerprint data, if allowed.
     * @hide
     */
    public AuthenticationResult(CryptoObject crypto, Fingerprint fingerprint) {
        mCryptoObject = crypto;
        mFingerprint = fingerprint;
    }

    /**
     * Obtain the crypto object associated with this transaction
     * @return crypto object provided to {@link FingerprintManager#authenticate(CryptoObject,
     *     CancellationSignal, int, AuthenticationCallback, Handler)}.
     */
    public CryptoObject getCryptoObject() { return mCryptoObject; }

    /**
     * Obtain the Fingerprint associated with this operation. Applications are strongly
     * discouraged from associating specific fingers with specific applications or operations.
     *
     * @hide
     */
    public Fingerprint getFingerprint() { return mFingerprint; }
};复制代码

这个类很简单,里面就二个属性值:FingerprintCryptoObject,我们再来看Fingerprint类的内容:

/**
 * Container for fingerprint metadata.
 * @hide
 */
public final class Fingerprint implements Parcelable {
    private CharSequence mName;
    private int mGroupId;
    private int mFingerId;
    private long mDeviceId; // physical device this is associated with

    ....
    ....
    ....

}复制代码

没错。里面有mFingerId等参数。岂不是我们直接拿这个值不就行了??这么简单???

答案当然是No,因为你回头再看上面的AuthenticationResult类里面的getFingerprint()方法上面用@hide修饰了,而且我们的Fingerprint类上面也用@hide修饰了。

但是大家心里一定会想,那我不是用反射来调用getFingerprint()方法拿到Fingerprint对象,从而再来拿mFingerId不就好了。

比如我在这里写上反射获取:

@Override
public void onAuthenticationSucceeded(FingerprintManager.AuthenticationResult result) {
    mErrorTextView.removeCallbacks(mResetErrorTextRunnable);
    mIcon.setImageResource(R.drawable.ic_fingerprint_success);
    mErrorTextView.setTextColor(
            mErrorTextView.getResources().getColor(R.color.success_color, null));
    mErrorTextView.setText(
            mErrorTextView.getResources().getString(R.string.fingerprint_success));
    mIcon.postDelayed(new Runnable() {
        @Override
        public void run() {
            mCallback.onAuthenticated();
        }
    }, SUCCESS_DELAY_MILLIS);

    //通过反射来获取
    try {

        Method method1 = result.getClass().getMethod("getCryptoObject");
        Object cryptoObject = method1.invoke(result, new Object[]{});

        Method method2 = result.getClass().getMethod("getFingerprint");
        Object fingerPrint = method2.invoke(result, new Object[]{});

    } catch ( NoSuchMethodException e ) {
        e.printStackTrace();
    } catch (InvocationTargetException e) {
        e.printStackTrace();
    } catch (IllegalAccessException e) {
        e.printStackTrace();
    }
}复制代码

你会发现就算通过反射来拿Fingerprint对象,拿到的也是null。而我用同样的代码来拿CryotoObject对象就是有内容的。

所以这里我们用反射也出现了问题,那我们自己普通程序员开发应该怎么来处理呢。 (ps:StackOverflow上也有人提出相同的问题:Fingerprint为null,他是直接把android.jar包换了。换成了这里没有@hide修饰了。这样就可以直接在代码里面使用,但是拿到的也是null。)


主角: Tencent/soter

TENCENT SOTER是腾讯于2015年开始制定的生物认证平台与标准,通过与厂商合作,目前已经在一百余款、数亿部Android设备上得到支持,并且这个数字还在快速增长。

目前,TENCENT SOTER已经在微信指纹支付、微信公众号/小程序指纹授权接口等场景使用,并得到了验证。

接入TENCENT SOTER,你可以在不获取用户指纹图案的前提下,在Android设备上实现可信的指纹认证,获得与微信指纹支付一致的安全快捷认证体验。

为什么要用TENCENT SOTER:

这里可以对比下系统原生Android 6.0指纹接口和FIDO方案。

TENCENT SOTER

Android Framework

FIDO

安全性

高(前后台支持,有产线生成一机一密根密钥)

低(手机被root后易被破解,且无法准确检测root)

高(前后台支持,有产线生成根密钥)

接入成本

较低(前端极轻量级sdk,后台无须集成sdk)

低(无需前后台sdk)

高(部署复杂)

敏感业务可用

是(可获取本机指纹索引)

否(无法获取指纹在本机索引,有盗用风险)

是(可获取本机指纹索引)

用户隐私保护

好(不会获取指纹图案)

好(不会获取指纹图案)

好(不会获取指纹图案)

商业隐私保护

好(验证无须请求到中心服务) \

较差(需要每一笔验证都请求到中心验证服务器)

当然最主要的功能是: 同时,对比与原生接口,也有两个明显优势: 支持部分Android L(Android 5.0、5.1)机型指纹认证 可以提供本次认证在本机上的指纹索引以区分手指

更多请看:什么是TENCENT SOTER SOTER支持的机型:SOTER 指纹支持机型


所以我们看到了。它可以提供本机上的指纹索引来区分手机。

我们使用github soter上面提供的Demo。我们可以运行demo,这时候出现一些情况:

  1. 有些人运行demo,可能会开启指纹功能的时候会失败,可能是你的机型不支持。我使用小米5不行,使用的OPPO A57就可以了。
  2. 大家可能看到华为上面一台都没有。在issue里面我们也看到了。腾讯正在和华为洽谈,而且说了技术上面是没有任何问题的。所以后续大家也可以不用担心
  3. 最后你用指纹解锁的时候,可以再回调函数中查看相关的log信息:soterdemo: use fingerprint payment result: total: SoterCoreResult{errCode=0, errMsg=''}, extData: SoterSignatureResult{rawValue='I'm a demo challenge string', fid='3374914681109099800', counter=42, TEEName='QSEE', TEEVersion='4', FpName='fingerprint', FpVersion='1', cpuId='000000000006b0e13a925a082575ca3e', saltLen=20, jsonValue='{"raw":"I'm a demo challenge string","fid":"3374914681109099800","counter":42,"tee_n":"QSEE","tee_v":"4","fp_n":"fingerprint","fp_v":"1","cpu_id":"000000000006b0e13a925a082575ca3e","uid":"10107"}', signature='J7jNgKFc2TMExrx3dLJAiAFF25cwZvUhGWLQJPhhbHKsHTLi+/eAsJd7gmgAJnZsCQrHq2vnIeW8j0Rj81aRbF1Svv5tNRJt1Gyzewu9Lpa7E5rwTJ97otJPWv3b3nxyDicYQaEZbzqGSYeKga+tUutDlISzvFOLqrikX/OT0W5M0/szFIpkrEAJiMGYNqg451iijN3dM6pB9AXgs6qohz25sWbF6OEthvAO9hI9Ddsm5bn69Ct/3f4eaB3eb/Ljo/Hs8YK//UhkvXn4OcOsnsmHZ6P6jaNcC60iylxxLuPc2PwMd8dRPDKk8S0HEyjT7SpaQqIO2j7/hbi2by0QJg=='}, signature data is: SoterSignatureResult{rawValue='I'm a demo challenge string', fid='3374914681109099800', counter=42, TEEName='QSEE', TEEVersion='4', FpName='fingerprint', FpVersion='1', cpuId='000000000006b0e13a925a082575ca3e', saltLen=20, jsonValue='{"raw":"I'm a demo challenge string","fid":"3374914681109099800","counter":42,"tee_n":"QSEE","tee_v":"4","fp_n":"fingerprint","fp_v":"1","cpu_id":"000000000006b0e13a925a082575ca3e","uid":"10107"}', signature='J7jNgKFc2TMExrx3dLJAiAFF25cwZvUhGWLQJPhhbHKsHTLi+/eAsJd7gmgAJnZsCQrHq2vnIeW8j0Rj81aRbF1Svv5tNRJt1Gyzewu9Lpa7E5rwTJ97otJPWv3b3nxyDicYQaEZbzqGSYeKga+tUutDlISzvFOLqrikX/OT0W5M0/szFIpkrEAJiMGYNqg451iijN3dM6pB9AXgs6qohz25sWbF6OEthvAO9hI9Ddsm5bn69Ct/3f4eaB3eb/Ljo/Hs8YK//UhkvXn4OcOsnsmHZ6P6jaNcC60iylxxLuPc2PwMd8dRPDKk8S0HEyjT7SpaQqIO2j7/hbi2by0QJg=='}复制代码 其中比较重要的就是fid='3374914681109099800',不同的指纹,这个ID值是不同的。所以我们可以用来判断了。

还是那句老话,可能我哪里讲的不对。大家请下面留言。多回复多点赞。哈哈。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 项目需求讨论-APP手势解锁及指纹解锁

    好久没写文章了,最近也比较偷懒,今天继续讨论我实际开发中遇到的需求,那就是关于APP解锁,大家都知道。现在越来越多的APP在填入账号密码后,第二次登录后,基本不...

    青蛙要fly
  • Android技能树 — 树基础知识小结(一)

    现在安卓面试,对于数据结构的问题也越来越多了,也经常看到别人发的面试题都是问什么红黑树,二叉树查找等,所以我们虽然不会马上就会各种难的面试题,但起码树的基础知识...

    青蛙要fly
  • 虐面试官系列Lifecyele篇 - (4)源码分析之响应的观察者们

    虐面试官系列Lifecyele篇 - (2)源码分析之 Event & State

    青蛙要fly
  • 美情报机构举办指纹识别大赛

    隶属于美国国家情报主任办公室(Office of the Director of National Intelligence)的情报部高级研究计划局(The I...

    人工智能快报
  • 屏下指纹介绍

    光学指纹当前随着成本的下降,各大厂商都在低中高端旗舰用上了光学指纹。有别于传统的电容指纹,光学指纹在解锁性能上目前都进行了优化,性能接近电容指纹。

    233333
  • 一篇文章教你从入门到精通 Google 指纹验证功能

    Google 从 Android 6.0开始,提供了开放的指纹识别相关 API,通过此篇文章可以帮助开发者接入指纹验证的基础功能,并且提供了系统应用基于指纹验证...

    2020labs小助手
  • 信息安全——指纹将成为未来信息安全的马蜂窝

    指纹的唯一性使其成为人体鉴别的一个重要生物特征,我们可以轻易地举出几个例子,警察判案常通过指纹识别,现在很多门禁系统采用指纹识别,有些手机的“大门”采用的就是指...

    博文视点Broadview
  • 拍照比“剪刀手”泄露指纹信息?业内专家四点辟谣

    某行业协会专家称,拍照时如果镜头距离够近,“剪刀手”照片通过照片放大技术和人工智能增强技术,可以将照片中人物的指纹信息还原出来。

    AI掘金志
  • 刷脸还是指纹识别,that's a question

    据 Patently Apple 消息,近日,苹果在欧洲和美国被授予了一件专利,根据专利介绍,这是一种特殊设计的OLED屏幕,能够读取感应到的指纹。据了解这一专...

    企鹅号小编
  • 指纹识别也不安全:黑客称可通过照片复制指纹

    欧洲最大的黑客联盟“Chaos计算机俱乐部”表示,该组织已经可以通过几张手指照片复制出人们的指纹。 在德国汉堡举行的第31届Chaos计算机俱乐部大会上,网名为...

    安恒信息

扫码关注云+社区

领取腾讯云代金券