Gestore delle credenziali si riferisce a un insieme di API introdotte in Android 14 che supportano diversi metodi di accesso, come nome utente e password, passkey e soluzioni di accesso federato (come Accedi con Google). Quando viene invocata l'API Credential Manager, il sistema Android aggrega le credenziali di tutti i provider di credenziali installati sul dispositivo. Questo documento descrive l'insieme di API che forniscono endpoint di integrazione per questi fornitori di credenziali.
Configura
Prima di implementare la funzionalità nel tuo provider di credenziali, completa i passaggi di configurazione descritti nelle sezioni seguenti.
Dichiarare le dipendenze
Nel file build.gradle
del modulo, dichiara una dipendenza utilizzando la versione più recente della libreria Gestore delle credenziali:
implementation "androidx.credentials:credentials:1.2.0-{latest}"
Dichiara l'elemento del servizio nel file manifest
Nel file manifest AndroidManifest.xml
della tua app, includi una dichiarazione <service>
per una classe di servizio che estenda la classe CredentialProviderService
della libreria androidx.credentials, come mostrato nell'esempio seguente.
<service android:name=".MyCredentialProviderService"
android:enabled="true"
android:exported="true"
android:label="My Credential Provider"
android:icon="<any drawable icon>"
android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE">
<intent-filter>
<action android:name="android.service.credentials.CredentialProviderService"/>
</intent-filter>
<meta-data
android:name="android.credentials.provider"
android:resource="@xml/provider"/>
</service>
L'autorizzazione e il filtro intent mostrato sopra sono fondamentali per il funzionamento del flusso di CredentialManager come previsto. L'autorizzazione è necessaria per consentire l'associazione solo al sistema Android. Il filtro intent viene utilizzato per la rilevabilità di questo servizio come fornitore di credenziali da utilizzare da Gestione credenziali.
Dichiara i tipi di credenziali supportati
Nella directory res/xml
, crea un nuovo file denominato provider.xml
. In questo
file, dichiara i tipi di credenziali supportati dal tuo servizio tramite costanti
definite per ogni tipo di credenziale nella libreria. Nel seguente
esempio, il servizio supporta le password tradizionali e le passkey,
le cui costanti sono definite come
TYPE_PASSWORD_CREDENTIAL
e TYPE_PUBLIC_KEY_CREDENTIAL
:
<?xml version="1.0" encoding="utf-8"?>
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
<capabilities>
<capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
<capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
Nei livelli API precedenti, i fornitori di credenziali si integravano con API come la compilazione automatica per password e altri dati. Questi fornitori possono utilizzare la stessa infrastruttura interna per archiviare i tipi di credenziali esistenti, espandendola al contempo per supportarne altri, incluse le passkey.
Approccio in due fasi all'interazione con i fornitori
Gestore delle credenziali interagisce con i provider di credenziali in due fasi:
- La prima fase è la fase di inizio/query, in cui il sistema si associa ai servizi dei fornitori di credenziali e richiama i metodi
onBeginGetCredentialRequest()
,onBeginCreateCredentialRequest()
oonClearCredentialStateRequest()
con richiesteBegin…
. I fornitori devono elaborare queste richieste e rispondere con risposteBegin…
, completandole con voci che rappresentano le opzioni visive da mostrare nel selettore dell'account. Ogni voce deve avere unPendingIntent
impostato. - Una volta che l'utente seleziona una voce, inizia la fase di selezione e viene attivato il
PendingIntent
associato alla voce, visualizzando l'attività del fornitore corrispondente. Una volta che l'utente ha terminato di interagire con questa attività, il fornitore di credenziali deve impostare la risposta al risultato dell'attività prima di terminarla. Questa risposta viene poi inviata all'app client che ha invocato Gestore delle credenziali.
Gestire la creazione di passkey
Gestire le query per la creazione di passkey
Quando un'app client vuole creare una passkey e memorizzarla con un fornitore di credenziali, chiama l'API createCredential
. Per gestire questa richiesta nel servizio del fornitore di credenziali in modo che la passkey venga effettivamente archiviata nel tuo spazio di archiviazione, completa i passaggi descritti nelle sezioni seguenti.
- Sostituisci il metodo
onBeginCreateCredentialRequest()
nel servizio esteso daCredentialProviderService
. - Gestisci
BeginCreateCredentialRequest
creando unBeginCreateCredentialResponse
corrispondente e passandolo al callback. - Durante la costruzione di
BeginCreateCredentialResponse
, aggiungi ilCreateEntries
obbligatorio. OgniCreateEntry
deve corrispondere a un account in cui è possibile salvare la credenziale e deve avere un valorePendingIntent
impostato insieme ad altri metadati richiesti.
L'esempio seguente illustra come implementare questi passaggi.
override fun onBeginCreateCredentialRequest(
request: BeginCreateCredentialRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
if (response != null) {
callback.onResult(response)
} else {
callback.onError(CreateCredentialUnknownException())
}
}
fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
}
// Request not supported
return null
}
private fun handleCreatePasskeyQuery(
request: BeginCreatePublicKeyCredentialRequest
): BeginCreateCredentialResponse {
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
val createEntries: MutableList<CreateEntry> = mutableListOf()
createEntries.add( CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
createEntries.add( CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
return BeginCreateCredentialResponse(createEntries)
}
private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
val intent = Intent(action).setPackage(PACKAGE_NAME)
// Add your local account ID as an extra to the intent, so that when
// user selects this entry, the credential can be saved to this
// account
intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)
return PendingIntent.getActivity(
applicationContext, UNIQUE_REQ_CODE,
intent, (
PendingIntent.FLAG_MUTABLE
or PendingIntent.FLAG_UPDATE_CURRENT
)
)
}
La costruzione di PendingIntent
deve rispettare quanto segue:
- L'attività corrispondente deve essere configurata in modo da mostrare eventuali richieste, conferme o selezioni biometriche richieste.
- Tutti i dati richiesti dal fornitore quando viene invocata l'attività corrispondente devono essere impostati come extra nell'intent utilizzato per creare il
PendingIntent
, ad esempio unaccountId
nel flusso di creazione. PendingIntent
deve essere costruito con il flagPendingIntent.FLAG_MUTABLE
in modo che il sistema possa aggiungere la richiesta finale all'extra intent.PendingIntent
non deve essere costruito con il flagPendingIntent.FLAG_ONE_SHOT
perché l'utente potrebbe selezionare una voce, tornare indietro e riselezionarla, il che causerebbe l'attivazione diPendingIntent
due volte.- Il
PendingIntent
deve essere creato con un codice richiesta univoco in modo che ogni voce possa avere il proprioPendingIntent
corrispondente.
Gestire la selezione delle voci per le richieste di creazione di passkey
- Quando l'utente seleziona un
CreateEntry
compilato in precedenza, viene richiamato ilPendingIntent
corrispondente e viene creato il fornitore associatoActivity
. - Dopo aver invocato il metodo
onCreate
della tua attività, accedi all'intent associato e passalo alla classePendingIntentHander
per ottenereProviderCreateCredentialRequest
. - Estrai
requestJson
,callingAppInfo
eclientDataHash
dalla richiesta. - Estrai
accountId
locale dall'elemento extra dell'intent. Si tratta di un'implementazione specifica per app di esempio e non è obbligatoria. Questo ID account può essere utilizzato per memorizzare questa credenziale in base a questo ID account specifico. - Convalida
requestJson
. L'esempio seguente utilizza classi di dati locali comePublicKeyCredentialCreationOptions
per convertire il JSON di input in una classe strutturata in base alle specifiche WebAuthn. In qualità di fornitore di credenziali, puoi sostituire questa classe con il tuo parser. - Controlla l'attributo asset-link per l'app chiamante se la chiamata proviene da un'app Android nativa.
- Viene visualizzata una richiesta di autenticazione. L'esempio seguente utilizza l'API Android Biometric.
- Quando l'autenticazione è andata a buon fine, genera un
credentialId
e una coppia di chiavi. - Salva la chiave privata nel database locale per
callingAppInfo.packageName
. - Costruisci una risposta JSON dell'API Web Authentication che sia composta dalla chiave pubblica e da
credentialId
. L'esempio riportato di seguito utilizza classi di utilità locali comeAuthenticatorAttestationResponse
eFidoPublicKeyCredential
che aiutano a creare un JSON in base alle specifiche sopra citate.In qualità di fornitore di credenziali, puoi sostituire queste classi con i tuoi builder. - Costruisci un
CreatePublicKeyCredentialResponse
con il JSON generato sopra. - Imposta
CreatePublicKeyCredentialResponse
come extra per unIntent
tramitePendingIntentHander.setCreateCredentialResponse()
e imposta questo intento sul risultato dell'attività. - Completa l'attività.
L'esempio di codice seguente illustra questi passaggi. Questo codice deve essere gestito nel
tuo codice Activity una volta invocato onCreate()
.
val request =
PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
val publicKeyRequest: CreatePublicKeyCredentialRequest =
request.callingRequest as CreatePublicKeyCredentialRequest
createPasskey(
publicKeyRequest.requestJson,
request.callingAppInfo,
publicKeyRequest.clientDataHash,
accountId
)
}
fun createPasskey(
requestJson: String,
callingAppInfo: CallingAppInfo?,
clientDataHash: ByteArray?,
accountId: String?
) {
val request = PublicKeyCredentialCreationOptions(requestJson)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
// Generate a credentialId
val credentialId = ByteArray(32)
SecureRandom().nextBytes(credentialId)
// Generate a credential key pair
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC");
keyPairGen.initialize(spec)
val keyPair = keyPairGen.genKeyPair()
// Save passkey in your database as per your own implementation
// Create AuthenticatorAttestationResponse object to pass to
// FidoPublicKeyCredential
val response = AuthenticatorAttestationResponse(
requestOptions = request,
credentialId = credentialId,
credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
origin = appInfoToOrigin(callingAppInfo),
up = true,
uv = true,
be = true,
bs = true,
packageName = callingAppInfo.packageName
)
val credential = FidoPublicKeyCredential(
rawId = credentialId, response = response
)
val result = Intent()
val createPublicKeyCredResponse =
CreatePublicKeyCredentialResponse(credential.json())
// Set the CreateCredentialResponse as the result of the Activity
PendingIntentHandler.setCreateCredentialResponse(
result, createPublicKeyCredResponse
)
setResult(Activity.RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Create passkey for ${request.rp.name}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
}
fun appInfoToOrigin(info: CallingAppInfo): String {
val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
val md = MessageDigest.getInstance("SHA-256");
val certHash = md.digest(cert)
// This is the format for origin
return "android:apk-key-hash:${b64Encode(certHash)}"
}
Gestire le query per le richieste di creazione di password
Per gestire le query per le richieste di creazione di password:
- All'interno del metodo
processCreateCredentialRequest()
menzionato nella sezione precedente, aggiungi un'altra condizione all'interno del blocco di switch per gestire le richieste di password. - Durante la costruzione di
BeginCreateCredentialResponse
, aggiungi ilCreateEntries
richiesto. - Ogni
CreateEntry
deve corrispondere a un account in cui è possibile salvare la credenziale e deve avere unPendingIntent
impostato insieme ad altri metadati.
Il seguente esempio illustra come implementare questi passaggi:
fun processCreateCredentialRequest(
request: BeginCreateCredentialRequest
): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
is BeginCreatePasswordCredentialRequest -> {
// Request is password type
return handleCreatePasswordQuery(request)
}
}
return null
}
private fun handleCreatePasswordQuery(
request: BeginCreatePasswordCredentialRequest
): BeginCreateCredentialResponse {
val createEntries: MutableList<CreateEntry> = mutableListOf()
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
Gestire la selezione delle voci per le richieste di creazione di password
Quando l'utente seleziona un CreateEntry
compilato, viene eseguito il corrispondente PendingIntent
e viene visualizzata l'attività associata. Accedi all'intent associato passato in onCreate
e passalo alla classe PendingIntentHander
per ottenere il metodo ProviderCreateCredentialRequest
.
L'esempio seguente illustra come implementare questa procedura. Questo codice deve essere gestito nel metodo onCreate()
dell'attività.
val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest
// Fetch the ID and password from the request and save it in your database
<your_database>.addNewPassword(
PasswordInfo(
request.id,
request.password,
createRequest.callingAppInfo.packageName
)
)
//Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
this@<activity>.finish()
Gestire l'accesso degli utenti
L'accesso degli utenti viene gestito con i seguenti passaggi:
- Quando un'app client tenta di far accedere un utente, prepara un'istanza
GetCredentialRequest
. - Il framework Android propaga questa richiesta a tutti i fornitori di credenziali applicabili tramite l'associazione a questi servizi.
- Il servizio del fornitore riceve quindi un
BeginGetCredentialRequest
contenente un elenco diBeginGetCredentialOption
, ognuno dei quali contiene parametri che possono essere utilizzati per recuperare le credenziali corrispondenti.
Per gestire questa richiesta nel servizio del fornitore di credenziali, completa i seguenti passaggi:
Sostituisci il metodo
onBeginGetCredentialRequest()
per gestire la richiesta. Tieni presente che se le tue credenziali sono bloccate, puoi impostare immediatamente unAuthenticationAction
sulla risposta e richiamare il callback.private val unlockEntryTitle = "Authenticate to continue" override fun onBeginGetCredentialRequest( request: BeginGetCredentialRequest, cancellationSignal: CancellationSignal, callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>, ) { if (isAppLocked()) { callback.onResult(BeginGetCredentialResponse( authenticationActions = mutableListOf(AuthenticationAction( unlockEntryTitle, createUnlockPendingIntent()) ) ) ) return } try { response = processGetCredentialRequest(request) callback.onResult(response) } catch (e: GetCredentialException) { callback.onError(GetCredentialUnknownException()) } }
I fornitori che richiedono lo sblocco delle credenziali prima di restituire qualsiasi
credentialEntries
devono configurare un'intent in attesa che indirizzi l'utente al flusso di sblocco dell'app:private fun createUnlockPendingIntent(): PendingIntent { val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME) return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, ( PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT ) ) }
Recupera le credenziali dal tuo database locale e configurale utilizzando
CredentialEntries
da mostrare nel selettore. Per le passkey, puoi impostarecredentialId
come extra nell'intent per sapere a quale credenziale è associata quando l'utente seleziona questa voce.companion object { // These intent actions are specified for corresponding activities // that are to be invoked through the PendingIntent(s) private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY" private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD" } fun processGetCredentialsRequest( request: BeginGetCredentialRequest ): BeginGetCredentialResponse { val callingPackage = request.callingAppInfo?.packageName val credentialEntries: MutableList<CredentialEntry> = mutableListOf() for (option in request.beginGetCredentialOptions) { when (option) { is BeginGetPasswordOption -> { credentialEntries.addAll( populatePasswordData( callingPackage, option ) ) } is BeginGetPublicKeyCredentialOption -> { credentialEntries.addAll( populatePasskeyData( callingPackage, option ) ) ) } else -> { Log.i(TAG, "Request not supported") } } } return BeginGetCredentialResponse(credentialEntries) }
Esegui query sulle credenziali dal tuo database, crea voci di passkey e password da compilare.
private fun populatePasskeyData( callingAppInfo: CallingAppInfo, option: BeginGetPublicKeyCredentialOption ): List<CredentialEntry> { val passkeyEntries: MutableList<CredentialEntry> = mutableListOf() val request = PublicKeyCredentialRequestOptions(option.requestJson) // Get your credentials from database where you saved during creation flow val creds = <getCredentialsFromInternalDb(request.rpId)> val passkeys = creds.passkeys for (passkey in passkeys) { val data = Bundle() data.putString("credId", passkey.credId) passkeyEntries.add( PublicKeyCredentialEntry( context = applicationContext, username = passkey.username, pendingIntent = createNewPendingIntent( GET_PASSKEY_INTENT_ACTION, data ), beginPublicKeyCredentialOption = option, displayName = passkey.displayName, icon = passkey.icon ) ) } return passkeyEntries } // Fetch password credentials and create password entries to populate to // the user private fun populatePasswordData( callingPackage: String, option: BeginGetPasswordOption ): List<CredentialEntry> { val passwordEntries: MutableList<CredentialEntry> = mutableListOf() // Get your password credentials from database where you saved during // creation flow val creds = <getCredentialsFromInternalDb(callingPackage)> val passwords = creds.passwords for (password in passwords) { passwordEntries.add( PasswordCredentialEntry( context = applicationContext, username = password.username, pendingIntent = createNewPendingIntent( GET_PASSWORD_INTENT ), beginGetPasswordOption = option displayName = password.username, icon = password.icon ) ) } return passwordEntries } private fun createNewPendingIntent( action: String, extra: Bundle? = null ): PendingIntent { val intent = Intent(action).setPackage(PACKAGE_NAME) if (extra != null) { intent.putExtra("CREDENTIAL_DATA", extra) } return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT) ) }
Dopo aver eseguito una query e compilato le credenziali, devi gestire la fase di selezione delle credenziali selezionate dall'utente, che si tratti di una passkey o di una password.
Gestione della selezione dell'utente per le passkey
- Nel metodo
onCreate
dell'attività corrispondente, recupera l'intent associato e passalo aPendingIntentHandler.retrieveProviderGetCredentialRequest()
. - Estrai
GetPublicKeyCredentialOption
dalla richiesta recuperata sopra. Successivamente, estrairequestJson
eclientDataHash
da questa opzione. - Estrai
credentialId
dall'extra intent, che è stato compilato dal fornitore di credenziali quando è stato configurato il corrispondentePendingIntent
. - Estrai la passkey dal database locale utilizzando i parametri di richiesta a cui hai eseguito l'accesso sopra.
Verifica che la passkey sia valida con i metadati estratti e la verifica dell'utente.
val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val publicKeyRequest = getRequest.credentialOption as GetPublicKeyCredentialOption val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA") val credIdEnc = requestInfo.getString("credId") // Get the saved passkey from your database based on the credential ID // from the publickeyRequest val passkey = <your database>.getPasskey(credIdEnc) // Decode the credential ID, private key and user ID val credId = b64Decode(credIdEnc) val privateKey = b64Decode(passkey.credPrivateKey) val uid = b64Decode(passkey.uid) val origin = appInfoToOrigin(getRequest.callingAppInfo) val packageName = getRequest.callingAppInfo.packageName validatePasskey( publicKeyRequest.requestJson, origin, packageName, uid, passkey.username, credId, privateKey )
Per convalidare l'utente, mostra una richiesta biometrica (o un altro metodo di affermazione). Lo snippet di codice riportato di seguito utilizza l'API Android Biometric.
Una volta completata l'autenticazione, crea una risposta JSON in base alle specifiche W3 per le affermazioni di autenticazione web. Nell'snippet di codice riportato di seguito, le classi di dati di supporto come
AuthenticatorAssertionResponse
vengono utilizzate per acquisire parametri strutturati e convertirli nel formato JSON richiesto. La risposta contiene una firma digitale della chiave privata di una credenziale WebAuthn. Il server della terza parte attendibile può verificare questa firma per autenticare un utente prima dell'accesso.Costruisci un
PublicKeyCredential
utilizzando il JSON generato sopra e impostalo su unGetCredentialResponse
finale. Imposta questa risposta finale sul risultato di questa attività.
Il seguente esempio illustra come implementare questi passaggi:
val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
val response = AuthenticatorAssertionResponse(
requestOptions = request,
credentialId = credId,
origin = origin,
up = true,
uv = true,
be = true,
bs = true,
userHandle = uid,
packageName = packageName
)
val sig = Signature.getInstance("SHA256withECDSA");
sig.initSign(privateKey)
sig.update(response.dataToSign())
response.signature = sig.sign()
val credential = FidoPublicKeyCredential(
rawId = credId, response = response
)
val result = Intent()
val passkeyCredential = PublicKeyCredential(credential.json)
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passkeyCredential)
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Use passkey for ${request.rpId}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
Gestione della selezione dell'utente per l'autenticazione tramite password
- Nell'attività corrispondente, accedi all'intent passato a
onCreate
ed estraiProviderGetCredentialRequest
utilizzandoPendingIntentHandler
. Utilizza
GetPasswordOption
nella richiesta per recuperare le credenziali della password per il nome del pacchetto in entrata.val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val passwordOption = getRequest.credentialOption as GetPasswordCredentialOption val username = passwordOption.username // Fetch the credentials for the calling app package name val creds = <your_database>.getCredentials(callingAppInfo.packageName) val passwords = creds.passwords val it = passwords.iterator() var password = "" while (it.hasNext() == true) { val passwordItemCurrent = it.next() if (passwordItemCurrent.username == username) { password = passwordItemCurrent.password break } }
Una volta recuperata, imposta la risposta per la credenziale della password selezionata.
// Set the response back val result = Intent() val passwordCredential = PasswordCredential(username, password) PendingIntentHandler.setGetCredentialResponse( result, GetCredentialResponse(passwordCredential) ) setResult(Activity.RESULT_OK, result) finish()
Gestire la selezione di una voce di azione di autenticazione
Come indicato in precedenza, un fornitore di credenziali può impostare un
AuthenticationAction
se le credenziali sono bloccate. Se l'utente seleziona questa voce, viene invocata l'attività corrispondente all'azione intent impostata in PendingIntent
. I fornitori di credenziali possono quindi mostrare un flusso di autenticazione biometrica o un meccanismo simile per sbloccare le credenziali. In caso di esito positivo, il fornitore di credenziali deve creare un BeginGetCredentialResponse
, in modo simile a come è descritto sopra il trattamento dell'accesso utente, poiché le credenziali sono ora sbloccate. Questa risposta deve essere impostata tramite il metodo
PendingIntentHandler.setBeginGetCredentialResponse()
prima che
l'intent preparato venga impostato come risultato e l'attività sia completata.
Cancellare le richieste di credenziali
Un'app client potrebbe richiedere che qualsiasi stato mantenuto per la selezione delle credenziali debba essere cancellato, ad esempio un fornitore di credenziali potrebbe ricordare la credenziale selezionata in precedenza e restituirla solo la volta successiva. Un'app client chiama questa API e
si aspetta che la selezione fissa venga cancellata. Il servizio del provider di credenziali può gestire questa richiesta sostituendo il metodo onClearCredentialStateRequest()
:
override fun onClearCredentialStateRequest(
request: android.service.credentials.ClearCredentialStateRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<Void?, ClearCredentialException>,
) {
// Delete any maintained state as appropriate.
}
Aggiungere la possibilità di creare un link alla pagina delle impostazioni del fornitore
Per consentire agli utenti di aprire le impostazioni del provider dalla schermata Password, passkey e Riempimento automatico, le app dei fornitori di credenziali devono implementare l'attributo manifest credential-provider
settingsActivity
in res/xml/provider.xml
. Questo attributo ti consente di utilizzare un'intent per aprire la schermata delle impostazioni della tua app se un utente fa clic sul nome di un fornitore nell'elenco di servizi Password, passkey e compilazione automatica. Imposta il valore di questo attributo sul
nome dell'attività da avviare dalla schermata delle impostazioni.
<credential-provider
xmlns:android="http://schemas.android.com/apk/res/android"
android:settingsSubtitle="Example settings provider name"
android:settingsActivity="com.example.SettingsActivity">
<capabilities>
<capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
Intenzioni relative alle impostazioni
Apri impostazioni: l'intent android.settings.CREDENTIAL_PROVIDER
visualizza una schermata delle impostazioni in cui l'utente può selezionare i fornitori di credenziali preferiti e aggiuntivi.
Servizio di credenziali preferito: l'intent
ACTION_REQUEST_SET_AUTOFILL_SERVICE
reindirizza l'utente alla
schermata di selezione del fornitore preferito. Il fornitore selezionato in questa schermata diventa il fornitore di credenziali e compilazione automatica preferito.
Ottenere una lista consentita di app con privilegi
Le app con privilegi, come i browser web, effettuano chiamate a Gestore delle credenziali per conto di altre parti attendibili impostando il parametro origin
nei metodi Gestore delle credenziali GetCredentialRequest()
e CreatePublicKeyCredentialRequest()
. Per elaborare queste richieste, il fornitore di credenziali recupera il token origin
utilizzando l'API getOrigin()
.
Per recuperare il token origin
, l'app del provider di credenziali deve passare un elenco di chiamanti privilegiati e attendibili all'API androidx.credentials.provider.CallingAppInfo's getOrigin()
. Questa lista consentita deve essere un oggetto JSON valido. origin
viene restituito se packageName
e
gli hash del certificato ottenuti da signingInfo
corrispondono a quelli di un'app
trovata in privilegedAllowlist
passata all'API getOrigin()
. Una volta ottenuto il valore origin
, l'app provider deve considerare questa una chiamata privilegiata e impostare questo origin
sui dati del client in AuthenticatorResponse
, anziché calcolare origin
utilizzando la firma dell'app chiamante.
Se recuperi un origin
, utilizza il clientDataHash
fornito direttamente
in CreatePublicKeyCredentialRequest()
o
GetPublicKeyCredentialOption()
anziché assemblare e sottoporre ad hashing
clientDataJSON
durante la richiesta di firma. Per evitare problemi di analisi JSON, imposta un valore segnaposto per clientDataJSON
nella risposta di attestazione e affermazione.
Gestore delle password di Google utilizza una lista consentita disponibile pubblicamente per le chiamate a getOrigin()
. In qualità di fornitore di credenziali, puoi utilizzare questo elenco o fornire il tuo nel formato JSON descritto dall'API. Spetta al fornitore selezionare l'elenco da utilizzare. Per ottenere l'accesso privilegiato con fornitori di credenziali di terze parti, consulta la documentazione fornita dalla terza parte.
Attivare i fornitori su un dispositivo
Gli utenti devono attivare il fornitore tramite impostazioni del dispositivo > Password e account > Il tuo fornitore > Attiva o disattiva.
fun createSettingsPendingIntent(): PendingIntent