指纹识别

一、 指纹识别接口
从Android 6.0开始，Android系统加上了对指纹识别的支持。所有指纹识别的接口都在android.hardware.fingerprint这个包下，里面一共有4个类

image.png

1. FingerprintManager：用于管理和访问指纹识别的。
2. FingerprintManager.AuthenticationCallback：一个callback接口，当指纹识别后系统会回调这个接口通知app认证的结果是什么 。
3. FingerprintManager.AuthenticationResult：一个表示识别结果的类，会在回调接口中以参数的形式给出 。
4. FingerprintManager.CryptoObject：一个加密的对象类，用来保证认证的安全性，这个对象类非常重要，下面会详细说。

二、 使用指纹识别的基础

1. 需要在AndroidManifest.xml中声明android.permission.USE_FINGERPRINT的权限。
2. 获取FingerprintManager服务的对象
   FingerprintManager
   manager = context.getSystemService(FingerprintManager.class);
3. 检查运行条件：是否有硬件设备，是否设置了指纹等。
   a. 指纹识别API是在api level 23也就是android 6.0中加入的，因此APP必须运行在这个系统版本之上，因此build.gradle中需要保证targetSdkVersion 23，在调用指纹识别方法前也要先判断Build.VERSION.SDK_INT >= Build.VERSION_CODES.M
   b. 使用fingerprint. isHardwareDetected ()方法来判断手机上是否有指纹识别的硬件设备。
   c. 使用fingerprint.hasEnrolledFingerprints()方法来判断手机上是否已经设置了指纹，否则是无法使用指纹识别的。
   这些检查都通过了，就可以扫描用户按下的指纹了。

三、 指纹的识别
扫描用户的指纹只需要调用FingerprintManager的authenticate方法就可以了。

image.png

1. crypto就是上面说的非常重要的加密类的对象，指纹扫描器会使用这个对象来判断认证结果的合法性。这个对象可以是null，但这样有可能指纹识别的过程会被攻击，数据会被篡改，因此这个类需要实例化，下面再相信讲解。
2. cancel 这个是CancellationSignal类的一个对象，这个对象可以用来取消当前的扫描操作，如果不取消的话，那么指纹扫描器会一直扫描直到超时（一般为30s），这样的话就会比较耗电，因此也不建议设置为null。
3. flags 标识位，暂时为0，保留将来使用的。
4. callback 这个是FingerprintManager.AuthenticationCallback类的对象，当系统完成了指纹识别后，无论成功或失败，都会回调这个接口，传递识别结果。这个参数不能为null。
5. handler 这是Handler类的对象，如果这个参数不为null的话，那么FingerprintManager将会使用这个handler中的looper来处理来自指纹识别硬件的消息。通常来讲，开发这不用提供这个参数，可以直接置为null，因为FingerprintManager会默认使用app的main looper来处理。
   四、 指纹识别的加密
6. 确定秘钥存储位置
   Android KeyStore系统允许存储加密密钥，keystore有很多种类，如果是“AndroidKeyStore”，keystore就难以从设备中导出，并且可以指明key的使用规则，例如只有用户验证后才可以使用key等。
   通过下面的代码获取keystore后，就可以把key存储进去了。

try {
    mStore = KeyStore.getInstance("AndroidKeyStore");
} catch (Exception e) {
    e.printStackTrace();
}

KeyStore.getInstance 中传递的参数为“AndroidKeyStore”，AndroidKeyStore主要是用来存储一些密钥key的，存进该处的key可以为其设置KeyProtection，例如只能通过用户验证才能取出key使用等。这些key是存在系统里的，不是在app的目录下，并且每个app不能访问其他app的key，例如app1创建了key1，并且存储的时候命名为temp，app2去通过temp去访问key，是获取不到的。

2. 生成秘钥

private void generateKey(String keyAlias) {
    //这里使用AES + CBC + PADDING_PKCS7，并且需要用户验证方能取出
    try {
            …
    }
}

3. cipher变量的实例化
   通过调用Cipher.getInstance方法实例化cipher，这个方法接受一个transformation参数，这个参数制定了数据怎么加密和解密。然后调用Cipher.init方法，使用上面生成的秘钥完成cipher对象的实例化工作。

try {
      final Cipher cipher = Cipher.getInstance(
              KeyProperties.KEY_ALGORITHM_AES + "/" + KeyProperties.BLOCK_MODE_CBC
                + "/" + KeyProperties.ENCRYPTION_PADDING_PKCS7);
      cipher.init(purpose, key);
} catch (KeyPermanentlyInvalidatedException e) {
}

KeyPermanentlyInvalidatedException的异常表示当前key是无效的，会产生这个异常是因为：
a. 注册一个新的指纹
b. 当前设备中的曾经注册过的指纹被删除了
c. 用户关闭了屏幕锁功能
d. 用户改变了屏幕锁的方式
所以需要处理这个异常。

五、 指纹识别结果
指纹的扫描和识别都是在指纹系统服务的进程中完成的，因此底层什么时候能够完成识别，我们app是不能假设的。因此，我们只能采取异步的操作方式，也就是当系统底层完成的时候主动通知我们，通过回调来实现FingerprintManager.AuthenticationCallback类，这个类中定义了一些回调方法来进行必要的处理。

image.png

1. OnAuthenticationError(int errorCode, ICharSequence errString)当指纹识别出现不可恢复的错误时调用，参数errorCode会给出错误码，标识错误的原因。
   //硬件不可用
   public static final int FINGERPRINT_ERROR_HW_UNAVAILABLE = 1;
   //无法处理当前要识别的指纹图像
   public static final int FINGERPRINT_ERROR_UNABLE_TO_PROCESS = 2;
   //请求超时，一般超时时间为30s
   public static final int FINGERPRINT_ERROR_TIMEOUT = 3;
   //没有足够的内存完成指纹识别
   public static final int FINGERPRINT_ERROR_NO_SPACE = 4;
   //用户取消当前扫描
   public static final int FINGERPRINT_ERROR_CANCELED = 5;
   //fingerprint id错误，导致无法移除指纹
   public static final int FINGERPRINT_ERROR_UNABLE_TO_REMOVE = 6;
   //指纹识别失败次数过多，一般为失败5次后
   public static final int FINGERPRINT_ERROR_LOCKOUT = 7;

2. OnAuthenticationFailed() 当指纹是有效的，但是识别失败时会回调。当指纹识别失败次数在5次之内就会回调这个接口。

3. OnAuthenticationHelp(int helpMsgId, ICharSequence helpString) 当指纹识别出现了可以回复的异常就会调用这个接口。helpString会告诉用户什么发生异常，例如“传感器脏了，请清洁”。

4. OnAuthenticationSucceeded(FingerprintManagerCompati.AuthenticationResult result)指纹识别成功之后回调。如果我们上面在调用authenticate的时候，我们的CryptoObject不是null的话，那么我们在这个方法中可以通过AuthenticationResult来获得Cypher对象然后调用它的doFinal方法。doFinal方法会检查结果是不是会拦截或者篡改过，如果是的话会抛出一个异常。为了安全，如果出现这个异常就应该将识别当做是失败来处理。result里传递的是经过解密后的数据。

六、 指纹识别的应用

1. 指纹加密（开启指纹识别）

   
   Android指纹加密.png
   

   选择合适的字串作为Key和原始数据，使用AES + CBC + PADDING_PKCS7的加密方法生成加密对象，同时把未进行加密的原始数据保存在服务器上。加密后的原始数据保存在SharePrefence中，key值保存在KeyStore中。

2. 指纹解密（进行指纹认证）

   
   Android 指纹解密.png
   

   进行指纹识别时，从SharePrefence和KeyStore中取出加密数据和Key值，进行指纹识别，在指纹识别成功时回调的OnAuthenticationSucceeded中，调用doFinal方法检查结果是否被拦截或被篡改，检查正确后返回已经解密好的数据，然后同服务器端存储的数据进行比对。

3. 指纹API调用结构

   
   Android指纹API调用结构图.png