仅在 FE 中验证生物指纹认证是个好主意吗?
问题描述 投票:0回答:1
我正在开发一个带有专用服务器的移动应用程序。为了让用户访问主页,他必须使用用户名和密码登录。服务器将验证凭据并返回访问和刷新令牌。刷新后的内容将保存在“移动安全存储”中。
当用户返回应用程序时,/refresh api 请求将发送到服务器以检查存储的刷新令牌的有效性。如果它仍然有效,用户将获得访问权限并自动重定向到主页。如果没有,他将不得不重新登录。到目前为止没有什么特别的。
我想建议在设置中添加指纹生物识别或 PIN 作为额外的安全检查。我想知道我是否可以在没有任何服务器交互的情况下做到这一点:
- 用户打开应用程序
- /刷新已发送
- 如果无效,请前往登录页面
- 如果有效
- 使用前端库(或 PIN)检查指纹
- 如果有效,请转到主页
- 如果无效,重复3次,然后进入登录页面
- 使用前端库(或 PIN)检查指纹
请参阅
它在架构方面是正确的,还是完全被骗了或者是一个糟糕的方法?
请注意,如果用户选择 PIN 作为第二次身份验证,我将发出 api 请求,因为 PIN 将存储在数据库中。我想知道我是否应该对指纹做同样的事情,但是如何存储指纹,更糟糕的是,如何在服务器端比较它?
感谢您的帮助!
我还没有实现任何东西,我需要有关构想的架构级别的反馈。
1个回答
0
投票
投票
要验证指纹是否属于用户,您需要与用户数据进行比较。这意味着您需要将其发送到前端。
您无法保密此数据,因为此时用户身份尚未确认(这就是您首先需要指纹的原因)
所以,我想说更安全的方法是在前端捕获输入数据(指纹),但在后端(非公开)捕获要比较的数据
- 采集指纹。
- 以某种方式对其进行编码。
- 将其发送到终点。
- 如果指纹匹配,端点将返回一个新的令牌。
- 您可以使用签名的令牌作为身份证明。
最新问题
- R 中的 FastText language_identification 返回太多参数 - 如何匹配文本?
- 如何用另一个数据表中的值替换 data.table 中的 NA 值
- prometheus记录规则暴露过多标签时的命名指南
- 控制台暂停的方式
- React-Query 无限重试循环
- 无法使用 WebSockets 从已部署的 Node.js 服务器中使用 Qt 检索数据
- 有没有办法将字符串转换为适当的数组,而不是字符串数组或字符数组?
- Angular UI 路由器视图不显示任何内容
- Google Cloud Platform Cloud SQL 上的 PostgreSQL DB 上的扩展 pg_cron 无法按每月和每周计划运行
- 如何合并SVG蒙版?
- Bash 脚本在 php 页面中运行时不起作用,但在终端中运行
- 如何在 WooCommerce 产品中添加品牌属性
- 在 SQLRPGLE 中关闭后文件仍保持打开状态
- 使用 ffmpeg 复制 GoPro 元数据 - 找不到编解码器的标签 无
- 无法启动配置的 Visual Studio 开发 Web 服务器
- 从另一个管道设置环境变量
- Woocommerce 中的属性不可见
- 不允许用户查看/设置Azure Keyvault中的秘密密钥值之一
- 我们可以在android应用程序中使用.setJournalMode(JournalMode.TRUNCATE)吗
- Wordpress“帖子名称”永久链接不起作用
© www.soinside.com 2019 - 2024. All rights reserved.