Credential Manager, Android 14 में पेश किए गए एपीआई का एक सेट है. यह साइन इन करने के कई तरीकों के साथ काम करता है. जैसे, उपयोगकर्ता नाम और पासवर्ड, पासकी, और फ़ेडरेटेड साइन-इन सलूशन (जैसे, 'Google से साइन इन करें'). Credential Manager API को चालू करने पर, Android सिस्टम डिवाइस पर इंस्टॉल किए गए सभी क्रेडेंशियल प्रोवाइडर से क्रेडेंशियल इकट्ठा करता है. इस दस्तावेज़ में, उन एपीआई के बारे में बताया गया है जो क्रेडेंशियल देने वाली इन कंपनियों के लिए इंटिग्रेशन एंडपॉइंट उपलब्ध कराते हैं.
सेटअप
अपने क्रेडेंशियल प्रोवाइडर में सुविधा लागू करने से पहले, यहां दिए गए सेटअप के चरणों को पूरा करें.
डिपेंडेंसी का एलान करना
अपने मॉड्यूल की build.gradle फ़ाइल में, Credential Manager लाइब्रेरी के नए वर्शन का इस्तेमाल करके डिपेंडेंसी का एलान करें:
implementation "androidx.credentials:credentials:1.2.0-{latest}"
मेनिफ़ेस्ट फ़ाइल में सेवा एलिमेंट की जानकारी देना
अपने ऐप्लिकेशन की मेनिफ़ेस्ट फ़ाइल AndroidManifest.xml में, ऐसी सेवा क्लास के लिए <service>
डिक्लेरेशन शामिल करें जो androidx.credentials लाइब्रेरी की CredentialProviderService क्लास को बढ़ाती है. इसे यहां दिए गए उदाहरण में दिखाया गया है.
<service android:name=".MyCredentialProviderService"
android:enabled="true"
android:exported="true"
android:label="My Credential Provider"
android:icon="@mipmap/ic_launcher"
android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE"
tools:targetApi="upside_down_cake">
<intent-filter>
<action android:name="android.service.credentials.CredentialProviderService"/>
</intent-filter>
<meta-data
android:name="android.credentials.provider"
android:resource="@xml/provider"/>
</service>
पिछले उदाहरण में दिखाई गई अनुमति और इंटेंट फ़िल्टर, Credential Manager के फ़्लो के लिए ज़रूरी हैं, ताकि यह उम्मीद के मुताबिक काम कर सके. इस अनुमति की ज़रूरत इसलिए होती है, ताकि सिर्फ़ Android सिस्टम इस सेवा से जुड़ सके. इंटेंट फ़िल्टर का इस्तेमाल, इस सेवा को क्रेडेंशियल मैनेजर के लिए क्रेडेंशियल उपलब्ध कराने वाली सेवा के तौर पर खोजने के लिए किया जाता है.
क्रेडेंशियल के इस्तेमाल किए जा सकने वाले टाइप की जानकारी देना
अपनी res/xml डायरेक्ट्री में, provider.xml नाम की एक नई फ़ाइल बनाएं. इस फ़ाइल में, क्रेडेंशियल के उन टाइप का एलान करें जिन्हें आपकी सेवा इस्तेमाल करती है. इसके लिए, लाइब्रेरी में क्रेडेंशियल के हर टाइप के लिए तय किए गए कॉन्स्टेंट का इस्तेमाल करें. यहां दिए गए उदाहरण में, सेवा पारंपरिक पासवर्ड के साथ-साथ पासकी का इस्तेमाल करने की सुविधा देती है. इनके लिए कॉन्स्टेंट को TYPE_PASSWORD_CREDENTIAL और TYPE_PUBLIC_KEY_CREDENTIAL के तौर पर तय किया गया है:
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
<capabilities>
<capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
<capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
एपीआई के पिछले लेवल पर, क्रेडेंशियल प्रोवाइडर, पासवर्ड और अन्य डेटा के लिए ऑटोमैटिक भरने की सुविधा जैसे एपीआई के साथ इंटिग्रेट होते हैं. ये कंपनियां, मौजूदा क्रेडेंशियल टाइप को सेव करने के लिए, एक ही इंटरनल इन्फ़्रास्ट्रक्चर का इस्तेमाल कर सकती हैं. साथ ही, इसे पासकी के साथ-साथ अन्य क्रेडेंशियल टाइप के साथ काम करने के लिए भी बढ़ाया जा सकता है.
स्वास्थ्य सेवा देने वाले व्यक्ति या कंपनी से इंटरैक्ट करने का दो चरणों वाला तरीका
क्रेडेंशियल मैनेजर, क्रेडेंशियल देने वाले प्रोग्राम के साथ दो चरणों में इंटरैक्ट करता है:
- पहला चरण, शुरू/क्वेरी चरण होता है. इसमें सिस्टम, क्रेडेंशियल देने वाली सेवाओं से जुड़ता है और
Begin…अनुरोधों के साथonBeginGetCredentialRequest(),onBeginCreateCredentialRequest()याonClearCredentialStateRequest()तरीकों को लागू करता है. सेवा देने वाली कंपनियों को इन अनुरोधों को प्रोसेस करना होगा औरBegin…जवाब देने होंगे. साथ ही, उन्हें ऐसी एंट्री भरनी होंगी जो खाता चुनने वाले टूल पर दिखाए जाने वाले विज़ुअल विकल्पों को दिखाती हों. हर एंट्री के लिएPendingIntentसेट होना चाहिए. - जब उपयोगकर्ता कोई एंट्री चुनता है, तो चुने जाने की प्रोसेस शुरू हो जाती है. साथ ही, एंट्री से जुड़ा
PendingIntentट्रिगर हो जाता है. इससे, सेवा देने वाली कंपनी की गतिविधि दिखती है. जब उपयोगकर्ता इस गतिविधि के साथ इंटरैक्ट कर लेता है, तो क्रेडेंशियल देने वाली कंपनी को गतिविधि खत्म करने से पहले, जवाब को गतिविधि के नतीजे पर सेट करना होगा. इसके बाद, इस जवाब को उस क्लाइंट ऐप्लिकेशन को भेजा जाता है जिसने Credential Manager को शुरू किया था.
पासकी बनाने की प्रोसेस को मैनेज करना
पासकी बनाने के लिए क्वेरी मैनेज करना
जब किसी क्लाइंट ऐप्लिकेशन को पासकी बनानी होती है और उसे क्रेडेंशियल प्रोवाइडर के साथ सेव करना होता है, तब वह createCredential एपीआई को कॉल करता है. क्रेडेंशियल प्रोवाइडर सेवा में इस अनुरोध को इस तरह से मैनेज करें कि पासकी को आपके स्टोरेज में सेव किया जा सके. इसके लिए, यहां दिए गए सेक्शन में बताया गया तरीका अपनाएं.
CredentialProviderServiceसे एक्सटेंड की गई अपनी सेवा में,onBeginCreateCredentialRequest()तरीके को बदलें.BeginCreateCredentialRequestको हैंडल करने के लिए, उससे मिलता-जुलताBeginCreateCredentialResponseबनाएं और उसे कॉलबैक के ज़रिए पास करें.BeginCreateCredentialResponseबनाते समय, ज़रूरीCreateEntriesजोड़ें. हरCreateEntry, उस खाते से जुड़ा होना चाहिए जिसमें क्रेडेंशियल सेव किया जा सकता है. साथ ही, इसमें अन्य ज़रूरी मेटाडेटा के साथ-साथPendingIntentसेट होना चाहिए.
नीचे दिए गए उदाहरण में, इन चरणों को लागू करने का तरीका बताया गया है.
override fun onBeginCreateCredentialRequest(
request: BeginCreateCredentialRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
if (response != null) {
callback.onResult(response)
} else {
callback.onError(CreateCredentialUnknownException())
}
}
fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
}
// Request not supported
return null
}
private fun handleCreatePasskeyQuery(
request: BeginCreatePublicKeyCredentialRequest
): BeginCreateCredentialResponse {
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
val createEntries: MutableList<CreateEntry> = mutableListOf()
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
val intent = Intent(action).setPackage(PACKAGE_NAME)
// Add your local account ID as an extra to the intent, so that when
// user selects this entry, the credential can be saved to this
// account
intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)
return PendingIntent.getActivity(
applicationContext, UNIQUE_REQ_CODE,
intent,
(
PendingIntent.FLAG_MUTABLE
or PendingIntent.FLAG_UPDATE_CURRENT
)
)
}
आपके PendingIntent को इन शर्तों का पालन करना होगा:
- ज़रूरी बायोमेट्रिक प्रॉम्प्ट, पुष्टि या चुनाव दिखाने के लिए, उससे जुड़ी गतिविधि सेट अप की जानी चाहिए.
- जब कोई गतिविधि शुरू की जाती है, तब सेवा देने वाली कंपनी को जो भी ज़रूरी डेटा चाहिए उसे
PendingIntentबनाने के लिए इस्तेमाल किए गए इंटेंट पर अतिरिक्त के तौर पर सेट किया जाना चाहिए. जैसे,PendingIntentबनाने के फ़्लो मेंaccountId. - आपके
PendingIntentको फ़्लैगPendingIntent.FLAG_MUTABLEके साथ बनाया जाना चाहिए, ताकि सिस्टम फ़ाइनल अनुरोध को इंटेंट एक्स्ट्रा में जोड़ सके. - आपका
PendingIntent, फ़्लैगPendingIntent.FLAG_ONE_SHOTके साथ नहीं बनाया जाना चाहिए. ऐसा इसलिए, क्योंकि उपयोगकर्ता किसी एंट्री को चुन सकता है, वापस जा सकता है, और उसे फिर से चुन सकता है. इससेPendingIntentदो बार ट्रिगर होगा. - आपके
PendingIntentको यूनीक अनुरोध कोड के साथ बनाया जाना चाहिए, ताकि हर एंट्री का अपनाPendingIntentहो सके.
यह कुकी, पासकी बनाने के अनुरोधों के लिए एंट्री चुनने की प्रोसेस को मैनेज करती है
- जब उपयोगकर्ता, पहले से भरे गए
CreateEntryको चुनता है, तो उससे जुड़ाPendingIntentचालू हो जाता है. साथ ही, उससे जुड़ाActivityबन जाता है. onCreateतरीके से गतिविधि शुरू होने के बाद, उससे जुड़े इंटेंट को ऐक्सेस करें और उसेPendingIntentHanderक्लास में पास करें, ताकि आपकोProviderCreateCredentialRequestमिल सके.- अनुरोध से
requestJson,callingAppInfo, औरclientDataHashको एक्सट्रैक्ट करें. - इंटेंट एक्स्ट्रा से स्थानीय
accountIdनिकालें. यह ऐप्लिकेशन के हिसाब से लागू किया गया सैंपल है और इसे लागू करना ज़रूरी नहीं है. इस खाते के आईडी का इस्तेमाल, इस क्रेडेंशियल को इस खाते के आईडी के साथ सेव करने के लिए किया जा सकता है. requestJsonकी पुष्टि करें. यहां दिए गए उदाहरण में, WebAuthn स्पेसिफ़िकेशन के मुताबिक इनपुट JSON को स्ट्रक्चर्ड क्लास में बदलने के लिए,PublicKeyCredentialCreationOptionsजैसे लोकल डेटा क्लास का इस्तेमाल किया गया है. क्रेडेंशियल प्रोवाइडर के तौर पर, इसे अपने पार्सर से बदला जा सकता है.- अगर कॉल किसी नेटिव Android ऐप्लिकेशन से किया गया है, तो कॉलिंग ऐप्लिकेशन के लिए asset-link की जांच करें.
- पुष्टि करने का अनुरोध दिखाएं. नीचे दिए गए उदाहरण में, Android Biometric API का इस्तेमाल किया गया है.
- पुष्टि हो जाने पर,
credentialIdऔर कुंजी जोड़ा जनरेट करें. - निजी पासकोड को अपने लोकल डेटाबेस में
callingAppInfo.packageNameके साथ सेव करें. - Web Authentication API JSON रिस्पॉन्स बनाएं. इसमें सार्वजनिक पासकोड और
credentialIdशामिल हों. यहां दिए गए उदाहरण में,AuthenticatorAttestationResponseऔरFidoPublicKeyCredentialजैसी लोकल यूटिलिटी क्लास का इस्तेमाल किया गया है. इनसे, पहले बताए गए स्पेसिफ़िकेशन के आधार पर JSON बनाने में मदद मिलती है. क्रेडेंशियल उपलब्ध कराने वाली कंपनी के तौर पर, इन क्लास को अपने बिल्डर से बदला जा सकता है. - ऊपर जनरेट किए गए JSON का इस्तेमाल करके,
CreatePublicKeyCredentialResponseबनाएं. PendingIntentHander.setCreateCredentialResponse()के ज़रिए,CreatePublicKeyCredentialResponseकोIntentपर अतिरिक्त के तौर पर सेट करें. साथ ही, उस इंटेंट को गतिविधि के नतीजे पर सेट करें.- गतिविधि पूरी करें.
नीचे दिए गए कोड के उदाहरण में इन चरणों को दिखाया गया है. onCreate() को शुरू करने के बाद, इस कोड को आपकी गतिविधि क्लास में हैंडल करना होगा.
override fun onCreate(savedInstanceState: Bundle?, persistentState: PersistableBundle?) {
super.onCreate(savedInstanceState, persistentState)
// ...
val request =
PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
val publicKeyRequest: CreatePublicKeyCredentialRequest =
request.callingRequest as CreatePublicKeyCredentialRequest
createPasskey(
publicKeyRequest.requestJson,
request.callingAppInfo,
publicKeyRequest.clientDataHash,
accountId
)
}
}
@SuppressLint("RestrictedApi")
fun createPasskey(
requestJson: String,
callingAppInfo: CallingAppInfo?,
clientDataHash: ByteArray?,
accountId: String?
) {
val request = PublicKeyCredentialCreationOptions(requestJson)
val biometricPrompt = BiometricPrompt(
this,
{ }, // Pass in your own executor
object : AuthenticationCallback() {
override fun onAuthenticationError(errorCode: Int, errString: CharSequence) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
@RequiresApi(VERSION_CODES.P)
override fun onAuthenticationSucceeded(
result: AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
// Generate a credentialId
val credentialId = ByteArray(32)
SecureRandom().nextBytes(credentialId)
// Generate a credential key pair
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC")
keyPairGen.initialize(spec)
val keyPair = keyPairGen.genKeyPair()
// Save passkey in your database as per your own implementation
// Create AuthenticatorAttestationResponse object to pass to
// FidoPublicKeyCredential
val response = AuthenticatorAttestationResponse(
requestOptions = request,
credentialId = credentialId,
credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
origin = appInfoToOrigin(callingAppInfo!!),
up = true,
uv = true,
be = true,
bs = true,
packageName = callingAppInfo.packageName
)
val credential = FidoPublicKeyCredential(
rawId = credentialId,
response = response,
authenticatorAttachment = "", // Add your authenticator attachment
)
val result = Intent()
val createPublicKeyCredResponse =
CreatePublicKeyCredentialResponse(credential.json())
// Set the CreateCredentialResponse as the result of the Activity
PendingIntentHandler.setCreateCredentialResponse(
result,
createPublicKeyCredResponse
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Create passkey for ${request.rp.name}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
}
@RequiresApi(VERSION_CODES.P)
fun appInfoToOrigin(info: CallingAppInfo): String {
val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
val md = MessageDigest.getInstance("SHA-256")
val certHash = md.digest(cert)
// This is the format for origin
return "android:apk-key-hash:${b64Encode(certHash)}"
}
पासवर्ड बनाने के अनुरोधों से जुड़ी क्वेरी मैनेज करना
पासवर्ड बनाने के अनुरोधों से जुड़ी क्वेरी मैनेज करने के लिए, यह तरीका अपनाएं:
- पिछले सेक्शन में बताए गए
processCreateCredentialRequest()तरीके में, स्विच ब्लॉक के अंदर एक और केस जोड़ें. इससे पासवर्ड के अनुरोधों को मैनेज किया जा सकेगा. BeginCreateCredentialResponseबनाते समय, ज़रूरीCreateEntriesजोड़ें.- हर
CreateEntryउस खाते से जुड़ा होना चाहिए जिसमें क्रेडेंशियल सेव किया जा सकता है. साथ ही, उस परPendingIntentसेट होना चाहिए. इसके अलावा, उसमें अन्य मेटाडेटा भी होना चाहिए.
यहां दिए गए उदाहरण में, इन चरणों को लागू करने का तरीका बताया गया है:
fun processCreateCredentialRequest(
request: BeginCreateCredentialRequest
): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
is BeginCreatePasswordCredentialRequest -> {
// Request is password type
return handleCreatePasswordQuery(request)
}
}
return null
}
@RequiresApi(VERSION_CODES.M)
private fun handleCreatePasswordQuery(
request: BeginCreatePasswordCredentialRequest
): BeginCreateCredentialResponse {
val createEntries: MutableList<CreateEntry> = mutableListOf()
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
यह कुकी, पासवर्ड बनाने के अनुरोधों के लिए एंट्री चुनने की प्रोसेस को मैनेज करती है
जब उपयोगकर्ता, भरे गए CreateEntry को चुनता है, तो उससे जुड़ा PendingIntent चालू हो जाता है और उससे जुड़ी गतिविधि दिखती है. onCreate में पास किए गए, इससे जुड़े इंटेंट को ऐक्सेस करें और इसे PendingIntentHander क्लास में पास करें, ताकि ProviderCreateCredentialRequest तरीका मिल सके.
नीचे दिए गए उदाहरण में, इस प्रोसेस को लागू करने का तरीका बताया गया है. इस कोड को, गतिविधि के onCreate() तरीके में मैनेज करना होगा.
val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (createRequest == null) {
return
}
val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest
// Fetch the ID and password from the request and save it in your database
mDatabase.addNewPassword(
PasswordInfo(
request.id,
request.password,
createRequest.callingAppInfo.packageName
)
)
// Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
finish()
उपयोगकर्ता के साइन-इन को मैनेज करना
उपयोगकर्ता के साइन इन करने की प्रोसेस इस तरह से मैनेज की जाती है:
- जब कोई क्लाइंट ऐप्लिकेशन, किसी उपयोगकर्ता को साइन इन करने की कोशिश करता है, तब वह
GetCredentialRequestइंस्टेंस तैयार करता है. - Android फ़्रेमवर्क, इन सेवाओं से जुड़कर, इस अनुरोध को क्रेडेंशियल उपलब्ध कराने वाली सभी कंपनियों को भेजता है.
- इसके बाद, सेवा देने वाली कंपनी को एक
BeginGetCredentialRequestमिलता है. इसमेंBeginGetCredentialOptionकी एक सूची होती है. इनमें से हरBeginGetCredentialOptionमें ऐसे पैरामीटर होते हैं जिनका इस्तेमाल, मिलते-जुलते क्रेडेंशियल पाने के लिए किया जा सकता है.
क्रेडेंशियल देने वाली सेवा में इस अनुरोध को मैनेज करने के लिए, यह तरीका अपनाएं:
अनुरोध को मैनेज करने के लिए,
onBeginGetCredentialRequest()तरीके को बदलें. ध्यान दें कि अगर आपके क्रेडेंशियल लॉक हैं, तो जवाब पर तुरंतAuthenticationActionसेट किया जा सकता है और कॉलबैक शुरू किया जा सकता है.private val unlockEntryTitle = "Authenticate to continue" override fun onBeginGetCredentialRequest( request: BeginGetCredentialRequest, cancellationSignal: CancellationSignal, callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>, ) { if (isAppLocked()) { callback.onResult( BeginGetCredentialResponse( authenticationActions = mutableListOf( AuthenticationAction( unlockEntryTitle, createUnlockPendingIntent() ) ) ) ) return } try { response = processGetCredentialRequest(request) callback.onResult(response) } catch (e: GetCredentialException) { callback.onError(GetCredentialUnknownException()) } }जिन प्रोवाइडर को कोई
credentialEntriesवापस करने से पहले क्रेडेंशियल अनलॉक करने की ज़रूरत होती है उन्हें एक पेंडिंग इंटेंट सेट अप करना होगा. इससे उपयोगकर्ता को ऐप्लिकेशन के अनलॉक फ़्लो पर ले जाया जा सकेगा:private fun createUnlockPendingIntent(): PendingIntent { val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME) return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, ( PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT ) ) }अपने लोकल डेटाबेस से क्रेडेंशियल पाएं और उन्हें
CredentialEntriesका इस्तेमाल करके सेट अप करें, ताकि उन्हें सिलेक्टर पर दिखाया जा सके. पासकी के लिए, इंटेंट परcredentialIdको अतिरिक्त तौर पर सेट किया जा सकता है. इससे यह पता चलता है कि जब उपयोगकर्ता इस एंट्री को चुनता है, तो यह किस क्रेडेंशियल से मैप होती है.companion object { // These intent actions are specified for corresponding activities // that are to be invoked through the PendingIntent(s) private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY" private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD" } fun processGetCredentialRequest( request: BeginGetCredentialRequest ): BeginGetCredentialResponse { val callingPackageInfo = request.callingAppInfo val callingPackageName = callingPackageInfo?.packageName.orEmpty() val credentialEntries: MutableList<CredentialEntry> = mutableListOf() for (option in request.beginGetCredentialOptions) { when (option) { is BeginGetPasswordOption -> { credentialEntries.addAll( populatePasswordData( callingPackageName, option ) ) } is BeginGetPublicKeyCredentialOption -> { credentialEntries.addAll( populatePasskeyData( callingPackageInfo, option ) ) } else -> { Log.i(TAG, "Request not supported") } } } return BeginGetCredentialResponse(credentialEntries) }अपने डेटाबेस से क्वेरी क्रेडेंशियल, पासकी, और पासवर्ड की एंट्री बनाएं.
private fun populatePasskeyData( callingAppInfo: CallingAppInfo?, option: BeginGetPublicKeyCredentialOption ): List<CredentialEntry> { val passkeyEntries: MutableList<CredentialEntry> = mutableListOf() val request = PublicKeyCredentialRequestOptions(option.requestJson) // Get your credentials from database where you saved during creation flow val creds = getCredentialsFromInternalDb(request.rpId) val passkeys = creds.passkeys for (passkey in passkeys) { val data = Bundle() data.putString("credId", passkey.credId) passkeyEntries.add( PublicKeyCredentialEntry( context = applicationContext, username = passkey.username, pendingIntent = createNewPendingIntent( GET_PASSKEY_INTENT_ACTION, data ), beginGetPublicKeyCredentialOption = option, displayName = passkey.displayName, icon = passkey.icon ) ) } return passkeyEntries } // Fetch password credentials and create password entries to populate to the user private fun populatePasswordData( callingPackage: String, option: BeginGetPasswordOption ): List<CredentialEntry> { val passwordEntries: MutableList<CredentialEntry> = mutableListOf() // Get your password credentials from database where you saved during // creation flow val creds = getCredentialsFromInternalDb(callingPackage) val passwords = creds.passwords for (password in passwords) { passwordEntries.add( PasswordCredentialEntry( context = applicationContext, username = password.username, pendingIntent = createNewPendingIntent( GET_PASSWORD_INTENT ), beginGetPasswordOption = option, displayName = password.username, icon = password.icon ) ) } return passwordEntries } private fun createNewPendingIntent( action: String, extra: Bundle? = null ): PendingIntent { val intent = Intent(action).setPackage(PACKAGE_NAME) if (extra != null) { intent.putExtra("CREDENTIAL_DATA", extra) } return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT) ) }क्रेडेंशियल के लिए क्वेरी करने और उन्हें भरने के बाद, अब आपको उपयोगकर्ता की ओर से चुने गए क्रेडेंशियल के लिए, चुनने के चरण को मैनेज करना होगा. भले ही, वह पासकी हो या पासवर्ड.
पासकी के लिए उपयोगकर्ता के चुने जाने की प्रोसेस को मैनेज करना
- गतिविधि से जुड़े
onCreateतरीके में, उससे जुड़ा इंटेंट वापस पाएं और उसेPendingIntentHandler.retrieveProviderGetCredentialRequest()को पास करें. - ऊपर दिए गए अनुरोध से
GetPublicKeyCredentialOptionनिकालें. इसके बाद, इस विकल्प सेrequestJsonऔरclientDataHashनिकालें. - इरादे से जुड़े एक्स्ट्रा से
credentialIdनिकालें. इसे क्रेडेंशियल उपलब्ध कराने वाली सेवा ने तब भरा था, जब इससे जुड़ाPendingIntentसेट अप किया गया था. - ऊपर दिए गए अनुरोध पैरामीटर का इस्तेमाल करके, अपने लोकल डेटाबेस से पासकी निकालें.
पुष्टि करें कि पासकी, निकाले गए मेटाडेटा और उपयोगकर्ता की पुष्टि के साथ मान्य है.
val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val publicKeyRequest = getRequest?.credentialOptions?.first() as GetPublicKeyCredentialOption val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA") val credIdEnc = requestInfo?.getString("credId").orEmpty() // Get the saved passkey from your database based on the credential ID from the PublicKeyRequest val passkey = mDatabase.getPasskey(credIdEnc) // Decode the credential ID, private key and user ID val credId = b64Decode(credIdEnc) val privateKey = b64Decode(passkey.credPrivateKey) val uid = b64Decode(passkey.uid) val origin = appInfoToOrigin(getRequest.callingAppInfo) val packageName = getRequest.callingAppInfo.packageName validatePasskey( publicKeyRequest.requestJson, origin, packageName, uid, passkey.username, credId, privateKey )उपयोगकर्ता की पुष्टि करने के लिए, बायोमेट्रिक पुष्टि का अनुरोध (या पुष्टि करने का कोई अन्य तरीका) दिखाएं. नीचे दिए गए कोड स्निपेट में, Android Biometric API का इस्तेमाल किया गया है.
पुष्टि हो जाने के बाद, W3 वेब ऑथेंटिकेशन असर्शन स्पेसिफ़िकेशन के आधार पर JSON रिस्पॉन्स बनाएं. नीचे दिए गए कोड स्निपेट में,
AuthenticatorAssertionResponseजैसी हेल्पर डेटा क्लास का इस्तेमाल किया गया है. इनका इस्तेमाल, स्ट्रक्चर्ड पैरामीटर लेने और उन्हें ज़रूरी JSON फ़ॉर्मैट में बदलने के लिए किया जाता है. जवाब में, WebAuthn क्रेडेंशियल की निजी कुंजी का डिजिटल हस्ताक्षर शामिल होता है. भरोसेमंद पार्टी का सर्वर, इस हस्ताक्षर की पुष्टि कर सकता है. इससे, साइन इन करने से पहले उपयोगकर्ता की पुष्टि की जा सकती है.ऊपर जनरेट किए गए JSON का इस्तेमाल करके,
PublicKeyCredentialबनाएं और इसे फ़ाइनलGetCredentialResponseपर सेट करें. इस गतिविधि के नतीजे के आधार पर, यह फ़ाइनल जवाब सेट करें.
यहां दिए गए उदाहरण में, इन चरणों को लागू करने का तरीका बताया गया है:
val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)
val biometricPrompt = BiometricPrompt(
this,
{ }, // Pass in your own executor
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int,
errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
val response = AuthenticatorAssertionResponse(
requestOptions = request,
credentialId = credId,
origin = origin,
up = true,
uv = true,
be = true,
bs = true,
userHandle = uid,
packageName = packageName
)
val sig = Signature.getInstance("SHA256withECDSA")
sig.initSign(privateKey)
sig.update(response.dataToSign())
response.signature = sig.sign()
val credential = FidoPublicKeyCredential(
rawId = credId,
response = response,
authenticatorAttachment = "", // Add your authenticator attachment
)
val result = Intent()
val passkeyCredential = PublicKeyCredential(credential.json())
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passkeyCredential)
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Use passkey for ${request.rpId}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
पासवर्ड की पुष्टि के लिए, उपयोगकर्ता के चुने गए विकल्प को मैनेज करना
- अपनी गतिविधि में,
onCreateको पास किए गए इंटेंट को ऐक्सेस करें. इसके बाद,PendingIntentHandlerका इस्तेमाल करकेProviderGetCredentialRequestको निकालें. आने वाले पैकेज के नाम के लिए पासवर्ड क्रेडेंशियल वापस पाने के अनुरोध में,
GetPasswordOptionका इस्तेमाल करें.val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val passwordOption = getRequest?.credentialOptions?.first() as GetPasswordOption val username = passwordOption.allowedUserIds.first() // Fetch the credentials for the calling app package name val creds = mDatabase.getCredentials(callingAppInfo.packageName) val passwords = creds.passwords val it = passwords.iterator() var password = "" while (it.hasNext()) { val passwordItemCurrent = it.next() if (passwordItemCurrent.username == username) { password = passwordItemCurrent.password break } }क्रेडेंशियल वापस पाने के बाद, चुने गए पासवर्ड क्रेडेंशियल के लिए जवाब सेट करें.
// Set the response back val result = Intent() val passwordCredential = PasswordCredential(username, password) PendingIntentHandler.setGetCredentialResponse( result, GetCredentialResponse(passwordCredential) ) setResult(Activity.RESULT_OK, result) finish()
पुष्टि करने की कार्रवाई की एंट्री चुनने की सुविधा को मैनेज करता है
पहले बताया गया है कि अगर क्रेडेंशियल लॉक हैं, तो क्रेडेंशियल देने वाली कंपनी AuthenticationAction सेट कर सकती है. अगर उपयोगकर्ता इस एंट्री को चुनता है, तो PendingIntent में सेट किए गए इंटेंट ऐक्शन से जुड़ी ऐक्टिविटी शुरू हो जाती है. इसके बाद, क्रेडेंशियल देने वाली कंपनियां, क्रेडेंशियल को अनलॉक करने के लिए बायोमेट्रिक ऑथेंटिकेशन या इसी तरह का कोई तरीका इस्तेमाल कर सकती हैं. पुष्टि हो जाने पर, क्रेडेंशियल देने वाली कंपनी को BeginGetCredentialResponse बनाना होगा. यह ठीक वैसा ही होगा जैसा कि ऊपर बताया गया है कि उपयोगकर्ता के साइन इन को कैसे मैनेज किया जाता है, क्योंकि अब क्रेडेंशियल अनलॉक हो गए हैं. इसके बाद, इस जवाब को PendingIntentHandler.setBeginGetCredentialResponse() तरीके से सेट किया जाना चाहिए. इससे पहले कि तैयार किए गए इंटेंट को नतीजे के तौर पर सेट किया जाए और गतिविधि पूरी हो जाए.
क्रेडेंशियल के अनुरोध मिटाएं
क्लाइंट ऐप्लिकेशन यह अनुरोध कर सकता है कि क्रेडेंशियल चुनने के लिए बनाए गए किसी भी राज्य को मिटा दिया जाए. जैसे, क्रेडेंशियल देने वाली कंपनी, पहले चुने गए क्रेडेंशियल को याद रख सकती है और अगली बार सिर्फ़ उसे वापस भेज सकती है. क्लाइंट ऐप्लिकेशन इस एपीआई को कॉल करता है और उसे उम्मीद होती है कि स्टिकी सिलेक्शन को हटा दिया जाएगा. क्रेडेंशियल देने वाली सेवा, onClearCredentialStateRequest() तरीके को बदलकर इस अनुरोध को पूरा कर सकती है:
override fun onClearCredentialStateRequest(
request: ProviderClearCredentialStateRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<Void?, ClearCredentialException>
) {
// Delete any maintained state as appropriate.
}
सेवा देने वाली कंपनी के सेटिंग पेज से लिंक करने की सुविधा जोड़ना
उपयोगकर्ताओं को पासवर्ड, पासकी, और ऑटोमैटिक भरने की सुविधा स्क्रीन से, सेवा देने वाली कंपनी की सेटिंग खोलने की अनुमति देने के लिए, क्रेडेंशियल सेवा देने वाले ऐप्लिकेशन को res/xml/provider.xml में credential-provider settingsActivity मेनिफ़ेस्ट एट्रिब्यूट लागू करना चाहिए. इस एट्रिब्यूट की मदद से, अपने ऐप्लिकेशन की सेटिंग स्क्रीन खोलने के लिए इंटेंट का इस्तेमाल किया जा सकता है. ऐसा तब होता है, जब कोई व्यक्ति पासवर्ड, पासकी, और अपने-आप भरने की सुविधा की सूची में मौजूद किसी सेवा देने वाली कंपनी के नाम पर क्लिक करता है. इस एट्रिब्यूट की वैल्यू को, सेटिंग स्क्रीन से लॉन्च की जाने वाली गतिविधि के नाम पर सेट करें.
<credential-provider
xmlns:android="http://schemas.android.com/apk/res/android"
android:settingsSubtitle="Example settings provider name"
android:settingsActivity="com.example.SettingsActivity">
<capabilities>
<capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
सेटिंग से जुड़े इंटेंट
सेटिंग खोलें: android.settings.CREDENTIAL_PROVIDER इंटेंट, सेटिंग वाली स्क्रीन खोलता है. इस स्क्रीन पर उपयोगकर्ता, अपनी पसंद के और अतिरिक्त क्रेडेंशियल प्रोवाइडर चुन सकता है.
क्रेडेंशियल सेवा का पसंदीदा विकल्प: ACTION_REQUEST_SET_AUTOFILL_SERVICE इंटेंट, आपके उपयोगकर्ता को क्रेडेंशियल सेवा देने वाली कंपनी चुनने की स्क्रीन पर रीडायरेक्ट करता है. इस स्क्रीन पर चुनी गई कंपनी, क्रेडेंशियल और जानकारी अपने-आप भरने की सुविधा देने वाली पसंदीदा कंपनी बन जाती है.
ज़्यादा सुविधाओं वाले ऐप्लिकेशन की अनुमति वाली सूची पाना
वेब ब्राउज़र जैसे खास ऐप्लिकेशन, अन्य भरोसेमंद पक्षों की ओर से Credential Manager को कॉल करते हैं. इसके लिए, वे Credential Manager GetCredentialRequest() और CreatePublicKeyCredentialRequest() तरीकों में origin पैरामीटर सेट करते हैं. इन अनुरोधों को प्रोसेस करने के लिए, क्रेडेंशियल देने वाली कंपनी getOrigin() एपीआई का इस्तेमाल करके origin को वापस पाती है.
origin को वापस पाने के लिए, क्रेडेंशियल उपलब्ध कराने वाले ऐप्लिकेशन को androidx.credentials.provider.CallingAppInfo's getOrigin() एपीआई में, भरोसेमंद और खास अधिकार वाले कॉलर की सूची पास करनी होगी. यह अनुमति वाली सूची, एक मान्य JSON ऑब्जेक्ट होनी चाहिए. origin तब दिखता है, जब packageName और signingInfo से मिले सर्टिफ़िकेट फ़िंगरप्रिंट, getOrigin() एपीआई को पास किए गए privilegedAllowlist में मौजूद किसी ऐप्लिकेशन के फ़िंगरप्रिंट से मेल खाते हों. origin वैल्यू मिलने के बाद, सेवा देने वाले ऐप्लिकेशन को इसे खास कॉल मानना चाहिए. साथ ही, AuthenticatorResponse में क्लाइंट के डेटा पर यह origin सेट करना चाहिए. इसके बजाय, कॉल करने वाले ऐप्लिकेशन के हस्ताक्षर का इस्तेमाल करके origin का हिसाब नहीं लगाना चाहिए.
अगर आपको origin मिलता है, तो हस्ताक्षर के अनुरोध के दौरान clientDataJSON को असेंबल और हैश करने के बजाय, CreatePublicKeyCredentialRequest() या GetPublicKeyCredentialOption() में सीधे तौर पर दिए गए clientDataHash का इस्तेमाल करें. JSON पार्स करने से जुड़ी समस्याओं से बचने के लिए, पुष्टि और दावे के जवाब में clientDataJSON के लिए प्लेसहोल्डर वैल्यू सेट करें. Google Password Manager, getOrigin() को कॉल करने के लिए, सार्वजनिक तौर पर उपलब्ध अनुमति वाली सूची का इस्तेमाल करता है. क्रेडेंशियल देने वाली कंपनी के तौर पर, इस सूची का इस्तेमाल किया जा सकता है. इसके अलावा, एपीआई में बताए गए JSON फ़ॉर्मैट में अपनी सूची भी दी जा सकती है. यह सेवा देने वाली कंपनी पर निर्भर करता है कि वह किस सूची का इस्तेमाल करती है. तीसरे पक्ष की क्रेडेंशियल सेवा देने वाली कंपनियों के साथ खास ऐक्सेस पाने के लिए, तीसरे पक्ष के दिए गए दस्तावेज़ देखें.
किसी डिवाइस पर सेवा देने वाली कंपनियों को चालू करना
लोगों को, डिवाइस की सेटिंग > पासवर्ड और खाते > सेवा देने वाली कंपनी > चालू या बंद करें पर जाकर, सेवा देने वाली कंपनी को चालू करना होगा.
fun createSettingsPendingIntent(): PendingIntent