一: 指纹支付工作流程:
温馨提示:5次后必须等待30s才能后续继续使用指纹系统否则永远失败二 指纹原理解析:
1 指纹验证:通过FingerprintManager.authenticate()方法即可验证,同时实现 FingerprintManager.AuthenticationCallback即可进行监听。
2 数据加解密:加密方法有多种可自行选择,指纹验证成功后回调AuthenticationCallback.onAuthenticationSucceeded(AuthenticationResult result),利用result中的CryptoObject的Cipher进行加密(如下)
以Android KeyStore System进行加密为例:解密需要经过设备校验后才能解密。(Android M后才有)
Cipher cipher = result.getCryptoObject().getCipher();byte[] encrypted = cipher.doFinal(data.getBytes());byte[] IV = cipher.getIV(); String se = Base64.encodeToString(encrypted, Base64.URL_SAFE); String siv = Base64.encodeToString(IV, Base64.URL_SAFE);
获得加密的数据和iv后,本地保存起来。需要用的时候,再根据SecretKey、iv初始化出cipher,进行解密cipher.doFinal(byte[] input)
为什么这样安全? -->因为Cipher根据SecretKey和IV初始化出来,而SecretKey由KeyStore保存在Android系统中,IV由指纹验证自动生成。由这两者生成出来的Cipher进行加解密,即可保证安全。
三 以下是台州开发的指纹支付的总结以及遇到的坑:
针对RN开发使用原生自带的指纹进行开发。
指纹开发包含 ①检测设备指纹是否可用 ②指纹验证是否通过
两端之间约定好的常量:用于指纹除了成功以外的情况native端返回给RN:
- AuthenticationFailed: 指纹验证失败
- UserCancel: 用户取消操作
- UserFallback: 用户输入密码操作
- Lockout: 用户连续验证错误导致锁住
- Others: 其他错误
- LockoutUserCancel:弹出输入密码界面,用户选择取消
成功默认不返回。
native 端指纹开发:android6.0之后谷歌对指纹识别进行了官方支持;Android系统提供的有两个接FingerprintManagerCompat和FingerprintManager。使用FingerprintManagerCompat进行开发相对比较方便,不用自己进行适配,使用FingerprintManager要考虑Api23前后的情况。
开发时注意事项:
① 弹出指纹支付窗口看起来像使用dialog就可以实现,但实际上处理起应该会很麻烦(我没处理过),该弹窗设计成一个activity会更好,因为当点击home键后要释放指纹资源,而直接使用dialog则不好处理。
② Android手机指纹系统可共用的,比如你在支付宝用了两次指纹,然后跳回开发的应用指纹能用的次数就减少2次,开发的时候直接注意不要往坑跳。
③ 配合需求开发,要求指纹在一定次数做出相应的动作,可以通过计数实现。Android系统默认错误5次后系统会暂停30s左右才能用,可以记录最后一次时间,超多次只记录开始超次数的地方的时间,系统有提供回调接口,就在回调处做处理就OK,其他地方同样道理,记录次数和时间,一开始进入是读取后判断。
最后要注意跳出页面要及时释放指纹资源:CancellationSignal.cancel();
指纹识别失败会调用: onAuthenticationFailed();
指纹失败5次会调用:onAuthenticateError(int errMsgId, CharSequence errString)方法,此时errMsgId==7;
每次重新授权,哪怕不去校验,取消时会走onAuthenticateError(int errMsgId, CharSequence errString) 方法,其中errMsgId==5;
当系统调用了onAuthenticationError()和onAuthenticationSucceeded()后,传感器会关闭,只有我们重新授权,再次调用authenticate()方法后才能继续使用指纹识别功能。所以authenticate可以考虑放在onResume()方法里面。
网友评论