يشير "مدير بيانات الاعتماد" إلى مجموعة من واجهات برمجة التطبيقات التي تم طرحها في نظام التشغيل Android 14 والتي تتيح طرق تسجيل دخول متعدّدة، مثل كلمة مرور اسم المستخدم ومفاتيح المرور وحلول تسجيل الدخول الموحّدة (مثل ميزة "تسجيل الدخول باستخدام حساب Google"). عند استدعاء واجهة برمجة التطبيقات Credential Manager API، يجمع نظام Android بيانات الاعتماد من جميع مزوّدي بيانات الاعتماد المثبَّتين على الجهاز. يصف هذا المستند مجموعة واجهات برمجة التطبيقات التي توفر نقاط نهاية للتكامل لموفري بيانات الاعتماد هؤلاء.
ضبط إعدادات الجهاز
قبل تنفيذ الوظيفة في موفِّر بيانات الاعتماد، عليك إكمال خطوات الإعداد الموضّحة في الأقسام التالية.
الإفصاح عن التبعيات
في ملف build.gradle الخاص بالوحدة، أفصح عن التبعية باستخدام أحدث إصدار من مكتبة مدير بيانات الاعتماد:
implementation "androidx.credentials:credentials:1.2.0-{latest}"
تحديد عنصر الخدمة في ملف البيان
في ملف بيان تطبيقك AndroidManifest.xml، أدرِج <service>
بيانًا لفئة الخدمة التي تُنشئ فئة
CredentialProviderService من مكتبة androidx.credentials،
كما هو موضّح في المثال أدناه.
<service android:name=".MyCredentialProviderService"
android:enabled="true"
android:exported="true"
android:label="My Credential Provider"
android:icon="<any drawable icon>"
android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE">
<intent-filter>
<action android:name="android.service.credentials.CredentialProviderService"/>
</intent-filter>
<meta-data
android:name="android.credentials.provider"
android:resource="@xml/provider"/>
</service>
إنّ الإذن وفلتر الغرض الموضَّحين أعلاه هما جزءان أساسيان لعمل مسار "مدير بيانات الاعتماد" على النحو المتوقّع. ويكون الإذن مطلوبًا حتى لا يتمكن سوى نظام Android من الربط بهذه الخدمة. يُستخدَم فلتر الأهداف لتحديد إمكانية العثور على هذه الخدمة كمقدّم بيانات اعتماد لاستخدامه من قِبل "مدير بيانات الاعتماد".
توضيح أنواع بيانات الاعتماد المتوافقة
في دليل res/xml، أنشئ ملفًا جديدًا باسم provider.xml. في هذا
الملف، يمكنك تحديد أنواع بيانات الاعتماد التي تتوافق معها خدمتك، وذلك من خلال ثوابت
يتم تحديدها لكل نوع من أنواع بيانات الاعتماد في المكتبة. في المثال التالي، تتيح الخدمة استخدام كلمات المرور التقليدية ومفاتيح المرور التي يتم تعريفها على أنّها TYPE_PASSWORD_CREDENTIAL وTYPE_PUBLIC_KEY_CREDENTIAL:
<?xml version="1.0" encoding="utf-8"?>
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
<capabilities>
<capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
<capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
في المستويات السابقة لواجهات برمجة التطبيقات، يتم دمج موفّري بيانات الاعتماد مع واجهات برمجة التطبيقات، مثل ميزة الملء التلقائي لكلمات المرور والبيانات الأخرى. ويمكن لهؤلاء المستضيفين استخدام البنية الأساسية الداخلية نفسها لتخزين أنواع بيانات الاعتماد الحالية وتوسيعها لتتيح لغيرهم، بما في ذلك مفاتيح المرور.
منهج مكوّن من مرحلتين للتفاعل مع مقدّمي الخدمات
يتفاعل "مدير بيانات الاعتماد" مع مزوّدي بيانات الاعتماد في مرحلتَين:
- المرحلة الأولى هي مرحلة البدء/الطلب التي يرتبط فيها النظام
بخدمات مقدّمي بيانات الاعتماد ويُطلِق methods
onBeginGetCredentialRequest()أوonBeginCreateCredentialRequest()أوonClearCredentialStateRequest()مع طلباتBegin…. على مقدّمي المحتوى معالجة هذه الطلبات والردّ عليها من خلالBegin…ردّ، وإدخال الإدخالات التي تمثّل الخيارات المرئية التي سيتم عرضها في أداة اختيار الحسابات. يجب أن يكون لكل إدخالPendingIntentمحدّد. - بعد اختيار المستخدم لإحدى الإدخالات، تبدأ مرحلة الاختيار ويتم تشغيل
PendingIntentالمرتبط بالإدخال، ما يؤدي إلى عرض نشاط مقدّم الخدمة المقابل. بعد انتهاء المستخدم من التفاعل مع هذا النشاط، على مقدّم بيانات الاعتماد ضبط الردّ على نتيجة النشاط قبل إنهائه. بعد ذلك، يتم إرسال هذا الردّ إلى تطبيق العميل الذي استدعى "مدير بيانات الاعتماد".
التعامل مع إنشاء مفتاح المرور
معالجة طلبات إنشاء مفاتيح المرور
عندما يريد أحد التطبيقات العميل إنشاء مفتاح مرور وتخزينه مع موفِّر بيانات اعتماد، يتّصل بواجهة برمجة تطبيقات createCredential. لمعالجة هذا
الطلب في خدمة مزوّد بيانات الاعتماد بحيث يتم تخزين مفتاح المرور
في مساحة التخزين، أكمِل الخطوات الموضّحة في الأقسام التالية.
- إلغاء طريقة
onBeginCreateCredentialRequest()في خدمتك الممتدة منCredentialProviderService - يمكنك معالجة
BeginCreateCredentialRequestمن خلال إنشاءBeginCreateCredentialResponseمتوافق وإرساله من خلال الاستدعاء. - أثناء إنشاء
BeginCreateCredentialResponse، أضِفCreateEntriesالمطلوبة. يجب أن تتوافق كلCreateEntryمع حساب يمكن فيه حفظ بيانات الاعتماد، ويجب ضبطPendingIntentمع البيانات الوصفية الأخرى المطلوبة.
يوضح المثال التالي كيفية تنفيذ هذه الخطوات.
override fun onBeginCreateCredentialRequest(
request: BeginCreateCredentialRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
if (response != null) {
callback.onResult(response)
} else {
callback.onError(CreateCredentialUnknownException())
}
}
fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
}
// Request not supported
return null
}
private fun handleCreatePasskeyQuery(
request: BeginCreatePublicKeyCredentialRequest
): BeginCreateCredentialResponse {
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
val createEntries: MutableList<CreateEntry> = mutableListOf()
createEntries.add( CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
createEntries.add( CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
return BeginCreateCredentialResponse(createEntries)
}
private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
val intent = Intent(action).setPackage(PACKAGE_NAME)
// Add your local account ID as an extra to the intent, so that when
// user selects this entry, the credential can be saved to this
// account
intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)
return PendingIntent.getActivity(
applicationContext, UNIQUE_REQ_CODE,
intent, (
PendingIntent.FLAG_MUTABLE
or PendingIntent.FLAG_UPDATE_CURRENT
)
)
}
يجب أن تلتزم بنية PendingIntent بما يلي:
- يجب إعداد "النشاط" المقابل لعرض أي طلب أو تأكيد أو اختيار مطلوبين باستخدام المقاييس الحيوية.
- إنّ أي بيانات مطلوبة يحتاجها مقدّم الخدمة عند استدعاء النشاط ذي الصلة يجب ضبطها على أنّها بيانات إضافية في الغرض المستخدَم في إنشاء
PendingIntent، مثلaccountIdفي عملية الإنشاء. - يجب إنشاء
PendingIntentباستخدام العلامةPendingIntent.FLAG_MUTABLEكي يتمكّن النظام من إلحاق الطلب النهائي بالعنصر الإضافي intent. - يجب عدم إنشاء
PendingIntentباستخدام العلامةPendingIntent.FLAG_ONE_SHOT، لأنّ المستخدم يمكنه اختيار إدخال، والرجوع ثم إعادة اختياره، ما قد يؤدي إلى إطلاقPendingIntentمرّتين. - يجب إنشاء
PendingIntentباستخدام رمز طلب فريد كي تتمكّن كل إدخال من الحصول علىPendingIntentمطابق له.
التعامل مع اختيار الإدخال لطلبات إنشاء مفاتيح المرور
- عندما يختار المستخدم
CreateEntryتمّت تعبئته سابقًا، يتمّ استدعاءPendingIntentالمقابل وإنشاءActivityمقدّم الخدمة المرتبط. - بعد استدعاء طريقة
onCreateفي نشاطك، يمكنك الوصول إلى الهدف المرتبط ونقله إلى فئةPendingIntentHanderللحصول علىProviderCreateCredentialRequest. - يمكنك استخراج
requestJsonوcallingAppInfoوclientDataHashمن الطلب. - استخرِج
accountIdالمحلي من سمة "الهدف الإضافي". هذا نموذج من تنفيذ التطبيق وليس مطلوبًا. يمكن استخدام رقم تعريف الحساب هذا لتخزين بيانات الاعتماد هذه مقابل رقم تعريف الحساب هذا بالتحديد. - تحقَّق من
requestJson. يستخدم المثال أدناه فئات بيانات محلية مثلPublicKeyCredentialCreationOptionsلتحويل ملف JSON المُدخل إلى فئة منظَّمة وفقًا لمواصفات WebAuthn. وبصفتك مقدّم بيانات اعتماد، يمكنك استبدال هذا الإجراء باستخدام محلِّل النصوص الخاص بك. - تحقَّق من رابط مادة العرض لتطبيق الاتصال إذا كانت المكالمة ناتجة عن تطبيق Android أصلي.
- عرض إشعار للمصادقة يستخدم المثال أدناه واجهة برمجة التطبيقات Android Biometric.
- عند نجاح المصادقة، أنشئ
credentialIdو زوج مفتاح. - احفظ المفتاح الخاص في قاعدة بياناتك المحلية بجانب
callingAppInfo.packageName. - أنشئ استجابة JSON في Web Authentication API تتكون من المفتاح العام و
credentialId. يستخدم المثال أدناه فئات أدوات محلية مثلAuthenticatorAttestationResponseوFidoPublicKeyCredentialالتي تساعد في إنشاء ملف JSON استنادًا إلى المواصفات المذكورة أعلاه.وبصفتك مقدّم بيانات الاعتماد، يمكنك استبدال هذه الفئات بأدوات الإنشاء الخاصة بك. - أنشئ
CreatePublicKeyCredentialResponseباستخدام ملف JSON الذي تم إنشاؤه أعلاه. - اضبط
CreatePublicKeyCredentialResponseكإضافة فيIntentمن خلالPendingIntentHander.setCreateCredentialResponse()، واضبط intent على نتيجة النشاط. - أكمِل النشاط.
يوضّح مثال الرمز البرمجي أدناه هذه الخطوات. يجب التعامل مع هذا الرمز في صف النشاط
بعد استدعاء onCreate().
val request =
PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
val publicKeyRequest: CreatePublicKeyCredentialRequest =
request.callingRequest as CreatePublicKeyCredentialRequest
createPasskey(
publicKeyRequest.requestJson,
request.callingAppInfo,
publicKeyRequest.clientDataHash,
accountId
)
}
fun createPasskey(
requestJson: String,
callingAppInfo: CallingAppInfo?,
clientDataHash: ByteArray?,
accountId: String?
) {
val request = PublicKeyCredentialCreationOptions(requestJson)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
// Generate a credentialId
val credentialId = ByteArray(32)
SecureRandom().nextBytes(credentialId)
// Generate a credential key pair
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC");
keyPairGen.initialize(spec)
val keyPair = keyPairGen.genKeyPair()
// Save passkey in your database as per your own implementation
// Create AuthenticatorAttestationResponse object to pass to
// FidoPublicKeyCredential
val response = AuthenticatorAttestationResponse(
requestOptions = request,
credentialId = credentialId,
credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
origin = appInfoToOrigin(callingAppInfo),
up = true,
uv = true,
be = true,
bs = true,
packageName = callingAppInfo.packageName
)
val credential = FidoPublicKeyCredential(
rawId = credentialId, response = response
)
val result = Intent()
val createPublicKeyCredResponse =
CreatePublicKeyCredentialResponse(credential.json())
// Set the CreateCredentialResponse as the result of the Activity
PendingIntentHandler.setCreateCredentialResponse(
result, createPublicKeyCredResponse
)
setResult(Activity.RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Create passkey for ${request.rp.name}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
}
fun appInfoToOrigin(info: CallingAppInfo): String {
val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
val md = MessageDigest.getInstance("SHA-256");
val certHash = md.digest(cert)
// This is the format for origin
return "android:apk-key-hash:${b64Encode(certHash)}"
}
معالجة طلبات إنشاء كلمات المرور
لمعالجة طلبات إنشاء كلمة المرور، عليك اتّباع الخطوات التالية:
- في طريقة
processCreateCredentialRequest()المذكورة في القسم السابق، أضِف حالة أخرى داخل كتلة التبديل لمعالجة طلبات كلمة المرور. - أثناء إنشاء
BeginCreateCredentialResponse، أضِفCreateEntriesالمطلوبة. - يجب أن يكون كل
CreateEntryمرتبطًا بحساب يمكن فيه حفظ بيانات الاعتماد، ويجب أن يكون لديهPendingIntentتم ضبطه عليه مع بيانات وصفية أخرى.
يوضِّح المثال التالي كيفية تنفيذ هذه الخطوات:
fun processCreateCredentialRequest(
request: BeginCreateCredentialRequest
): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
is BeginCreatePasswordCredentialRequest -> {
// Request is password type
return handleCreatePasswordQuery(request)
}
}
return null
}
private fun handleCreatePasswordQuery(
request: BeginCreatePasswordCredentialRequest
): BeginCreateCredentialResponse {
val createEntries: MutableList<CreateEntry> = mutableListOf()
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
التعامل مع اختيار الإدخال لطلبات إنشاء كلمة المرور
عندما يختار المستخدم CreateEntry مملوءًا، يتم تنفيذ
PendingIntent المقابل وعرض النشاط المرتبط به. يمكنك الوصول إلى
الهدف المرتبط الذي تم تمريره في onCreate ونقله إلى فئة
PendingIntentHander للحصول على طريقة ProviderCreateCredentialRequest.
يوضّح المثال التالي كيفية تنفيذ هذه العملية. يجب التعامل مع هذا الرمز البرمجي
في طريقة onCreate() لنشاطك.
val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest
// Fetch the ID and password from the request and save it in your database
<your_database>.addNewPassword(
PasswordInfo(
request.id,
request.password,
createRequest.callingAppInfo.packageName
)
)
//Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
this@<activity>.finish()
معالجة تسجيل دخول المستخدم
يتم التعامل مع تسجيل دخول المستخدم من خلال الخطوات التالية:
- عندما يحاول تطبيق العميل تسجيل دخول مستخدم، يُعدّ مثيلًا
GetCredentialRequest. - ينشر إطار عمل Android هذا الطلب إلى جميع مقدّمي بيانات الاعتماد المعنيّين من خلال الربط بهذه الخدمات.
- تتلقّى خدمة مقدّم الخدمة بعد ذلك
BeginGetCredentialRequestيحتوي على قائمةBeginGetCredentialOption، يحتوي كلّ منها على مَعلمات يمكن استخدامها لاسترداد بيانات الاعتماد المطابقة.
لمعالجة هذا الطلب في خدمة مقدّم بيانات الاعتماد، أكمِل الخطوات التالية:
يمكنك إلغاء طريقة
onBeginGetCredentialRequest()لمعالجة الطلب. ملاحظة: إذا كانت بيانات الاعتماد مقفلة، يمكنك ضبطAuthenticationActionفورًا على الاستجابة واستدعاء ميزة معاودة الاتصال.private val unlockEntryTitle = "Authenticate to continue" override fun onBeginGetCredentialRequest( request: BeginGetCredentialRequest, cancellationSignal: CancellationSignal, callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>, ) { if (isAppLocked()) { callback.onResult(BeginGetCredentialResponse( authenticationActions = mutableListOf(AuthenticationAction( unlockEntryTitle, createUnlockPendingIntent()) ) ) ) return } try { response = processGetCredentialRequest(request) callback.onResult(response) } catch (e: GetCredentialException) { callback.onError(GetCredentialUnknownException()) } }بالنسبة إلى مقدّمي الخدمات الذين يطلبون فتح قفل بيانات الاعتماد قبل عرض أي
credentialEntries، عليهم إعداد نية معلّقة تنقل المستخدم إلى مسار فتح قفل التطبيق:private fun createUnlockPendingIntent(): PendingIntent { val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME) return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, ( PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT ) ) }استرجع بيانات الاعتماد من قاعدة البيانات المحلية وإعدادها باستخدام
CredentialEntriesلعرضها في أداة الاختيار. بالنسبة إلى مفاتيح المرور، يمكنك ضبطcredentialIdكميزة إضافية في intent لمعرفة بيانات الاعتماد التي يربطها المستخدم عندما يختار هذا الإدخال.companion object { // These intent actions are specified for corresponding activities // that are to be invoked through the PendingIntent(s) private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY" private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD" } fun processGetCredentialsRequest( request: BeginGetCredentialRequest ): BeginGetCredentialResponse { val callingPackage = request.callingAppInfo?.packageName val credentialEntries: MutableList<CredentialEntry> = mutableListOf() for (option in request.beginGetCredentialOptions) { when (option) { is BeginGetPasswordOption -> { credentialEntries.addAll( populatePasswordData( callingPackage, option ) ) } is BeginGetPublicKeyCredentialOption -> { credentialEntries.addAll( populatePasskeyData( callingPackage, option ) ) ) } else -> { Log.i(TAG, "Request not supported") } } } return BeginGetCredentialResponse(credentialEntries) }الاستعلام عن بيانات الاعتماد من قاعدة البيانات الخاصة بك، وإنشاء إدخالات مفتاح المرور وكلمة المرور لتعبئة البيانات.
private fun populatePasskeyData( callingAppInfo: CallingAppInfo, option: BeginGetPublicKeyCredentialOption ): List<CredentialEntry> { val passkeyEntries: MutableList<CredentialEntry> = mutableListOf() val request = PublicKeyCredentialRequestOptions(option.requestJson) // Get your credentials from database where you saved during creation flow val creds = <getCredentialsFromInternalDb(request.rpId)> val passkeys = creds.passkeys for (passkey in passkeys) { val data = Bundle() data.putString("credId", passkey.credId) passkeyEntries.add( PublicKeyCredentialEntry( context = applicationContext, username = passkey.username, pendingIntent = createNewPendingIntent( GET_PASSKEY_INTENT_ACTION, data ), beginPublicKeyCredentialOption = option, displayName = passkey.displayName, icon = passkey.icon ) ) } return passkeyEntries } // Fetch password credentials and create password entries to populate to // the user private fun populatePasswordData( callingPackage: String, option: BeginGetPasswordOption ): List<CredentialEntry> { val passwordEntries: MutableList<CredentialEntry> = mutableListOf() // Get your password credentials from database where you saved during // creation flow val creds = <getCredentialsFromInternalDb(callingPackage)> val passwords = creds.passwords for (password in passwords) { passwordEntries.add( PasswordCredentialEntry( context = applicationContext, username = password.username, pendingIntent = createNewPendingIntent( GET_PASSWORD_INTENT ), beginGetPasswordOption = option displayName = password.username, icon = password.icon ) ) } return passwordEntries } private fun createNewPendingIntent( action: String, extra: Bundle? = null ): PendingIntent { val intent = Intent(action).setPackage(PACKAGE_NAME) if (extra != null) { intent.putExtra("CREDENTIAL_DATA", extra) } return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT) ) }بعد طلب بيانات الاعتماد وملؤها، عليك الآن معالجة مرحلة الاختيار لبيانات الاعتماد التي يختارها المستخدم، سواء كانت مفتاح مرور أو كلمة مرور.
معالجة اختيار المستخدمين لمفاتيح المرور
- في طريقة
onCreateللنشاط المقابل، يمكنك استرداد النية ذات الصلة وتمريرها إلىPendingIntentHandler.retrieveProviderGetCredentialRequest(). - استخرِج
GetPublicKeyCredentialOptionمن الطلب الذي تم استرجاعه أعلاه. بعدها، يمكنك استخراجrequestJsonوclientDataHashمن هذا الخيار. - استخرِج
credentialIdمن العنصر الإضافي للنية الذي تم تعبئته من قِبل موفِّر بيانات الاعتماد عند إعدادPendingIntentالمقابل. - استخرِج مفتاح المرور من قاعدة البيانات المحلية باستخدام مَعلمات الطلب التي تم الوصول إليها أعلاه.
التأكيد على أن مفتاح المرور صالح مع البيانات الوصفية المستخرجة والتحقق من المستخدم.
val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val publicKeyRequest = getRequest.credentialOption as GetPublicKeyCredentialOption val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA") val credIdEnc = requestInfo.getString("credId") // Get the saved passkey from your database based on the credential ID // from the publickeyRequest val passkey = <your database>.getPasskey(credIdEnc) // Decode the credential ID, private key and user ID val credId = b64Decode(credIdEnc) val privateKey = b64Decode(passkey.credPrivateKey) val uid = b64Decode(passkey.uid) val origin = appInfoToOrigin(getRequest.callingAppInfo) val packageName = getRequest.callingAppInfo.packageName validatePasskey( publicKeyRequest.requestJson, origin, packageName, uid, passkey.username, credId, privateKey )لإثبات هوية المستخدم، عليك عرض طلب مصادقة باستخدام المقاييس الحيوية (أو طريقة أخرى لإثبات الهوية). يستخدم مقتطف الرمز البرمجي أدناه واجهة برمجة التطبيقات Android Biometric API.
بعد نجاح المصادقة، يمكنك إنشاء ردّ بتنسيق JSON استنادًا إلى مواصفات W3 Web Authentication Assertion. في مقتطف الرمز المبرمَج أدناه، يتم استخدام فئات بيانات مساعدة مثل
AuthenticatorAssertionResponseلتلقّي المَعلمات المنظَّمة وتحويلها إلى تنسيق JSON المطلوب. تحتوي الاستجابة على توقيع رقمي من المفتاح الخاص لمستند اعتماد WebAuthn. ويمكن لخادم الطرف المعتمد التحقّق من هذا التوقيع لمصادقة مستخدم قبل تسجيل الدخول.أنشئ
PublicKeyCredentialباستخدام ملف JSON الذي تم إنشاؤه أعلاه وأضِفه إلىGetCredentialResponseالنهائي. اضبط هذا الردّ النهائي على نتيجة هذا النشاط.
يوضّح المثال التالي كيفية تنفيذ هذه الخطوات:
val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
val response = AuthenticatorAssertionResponse(
requestOptions = request,
credentialId = credId,
origin = origin,
up = true,
uv = true,
be = true,
bs = true,
userHandle = uid,
packageName = packageName
)
val sig = Signature.getInstance("SHA256withECDSA");
sig.initSign(privateKey)
sig.update(response.dataToSign())
response.signature = sig.sign()
val credential = FidoPublicKeyCredential(
rawId = credId, response = response
)
val result = Intent()
val passkeyCredential = PublicKeyCredential(credential.json)
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passkeyCredential)
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Use passkey for ${request.rpId}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
التعامل مع اختيار المستخدمين لمصادقة كلمة المرور
- في النشاط المقابل، يمكنك الوصول إلى الهدف الذي تم تمريره إلى
onCreateواستخراجProviderGetCredentialRequestباستخدامPendingIntentHandler. يمكنك استخدام
GetPasswordOptionفي الطلب لاسترداد بيانات اعتماد كلمة المرور لاسم الحزمة الواردة.val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val passwordOption = getRequest.credentialOption as GetPasswordCredentialOption val username = passwordOption.username // Fetch the credentials for the calling app package name val creds = <your_database>.getCredentials(callingAppInfo.packageName) val passwords = creds.passwords val it = passwords.iterator() var password = "" while (it.hasNext() == true) { val passwordItemCurrent = it.next() if (passwordItemCurrent.username == username) { password = passwordItemCurrent.password break } }بعد استرجاعها، اضبط الردّ لبيانات اعتماد كلمة المرور المحدّدة.
// Set the response back val result = Intent() val passwordCredential = PasswordCredential(username, password) PendingIntentHandler.setGetCredentialResponse( result, GetCredentialResponse(passwordCredential) ) setResult(Activity.RESULT_OK, result) finish()
التعامل مع اختيار إدخال إجراء مصادقة
كما ذكرنا سابقًا، يمكن لموفّر بيانات الاعتماد ضبط AuthenticationAction في حال كانت بيانات الاعتماد مقفلة. إذا اختار المستخدم هذا
العنصر، يتمّ استدعاء "النشاط" المقابل للإجراء المقصود الذي تمّ ضبطه في
PendingIntent. ويمكن لمزوّدي بيانات الاعتماد بعد ذلك عرض خطوات مصادقة باستخدام المقاييس الحيوية أو آلية مشابهة لفتح قفل بيانات الاعتماد. في حال نجاح عملية الإعداد،
على موفِّر بيانات الاعتماد إنشاء BeginGetCredentialResponse، على نحو يشبه الطريقة الموضّحة أعلاه لمعالجة تسجيل دخول المستخدم، وذلك لأنّ بيانات الاعتماد أصبحت غير مُقفَلة الآن. يجب بعد ذلك ضبط هذا الردّ من خلال الأسلوب
PendingIntentHandler.setBeginGetCredentialResponse() قبل
ضبط النية المُعدّة كنتيجة وإنهاء النشاط.
محو طلبات بيانات الاعتماد
قد يطلب تطبيق العميل محو أي حالة تم حفظها لاختيار بيانات الاعتماد، مثلاً قد يتذكر موفِّر بيانات الاعتماد بيانات الاعتماد التي تم اختيارها سابقًا، ويعرضها فقط في المرة القادمة. يطلب تطبيق العميل واجهة برمجة التطبيقات هذه ويتوقع أن يتم محو الاختيار المُلصق. يمكن لخدمة مزوّد بيانات الاعتماد
معالجة هذا الطلب من خلال إلغاء طريقة
onClearCredentialStateRequest():
override fun onClearCredentialStateRequest(
request: android.service.credentials.ClearCredentialStateRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<Void?, ClearCredentialException>,
) {
// Delete any maintained state as appropriate.
}
إضافة إمكانية الربط بصفحة إعدادات مقدّم الخدمة
للسماح للمستخدمين بفتح إعدادات مقدّم بيانات الاعتماد من شاشة كلمات المرور
ومفاتيح المرور والملء التلقائي، يجب أن تطبّق تطبيقات مقدّمي بيانات الاعتماد سمة بيان
credential-provider settingsActivity في
res/xml/provider.xml. تتيح لك هذه السمة استخدام intent لفتح شاشة الإعدادات الخاصة بتطبيقك إذا نقر أحد المستخدمين على اسم مقدّم خدمة في قائمة الخدمات كلمات المرور ومفاتيح المرور والملء التلقائي. اضبط قيمة هذه السمة على
اسم النشاط الذي سيتم تشغيله من شاشة الإعدادات.
<credential-provider
xmlns:android="http://schemas.android.com/apk/res/android"
android:settingsSubtitle="Example settings provider name"
android:settingsActivity="com.example.SettingsActivity">
<capabilities>
<capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
الإعدادات المقصودة
فتح الإعدادات: يؤدي الغرض android.settings.CREDENTIAL_PROVIDER
إلى عرض شاشة إعدادات يمكن للمستخدم من خلالها اختيار مقدّمي بيانات الاعتماد المفضّلين لديه
والمقدّمين الإضافيين.
خدمة بيانات الاعتماد المفضّلة: يعيد رمز الغرض
ACTION_REQUEST_SET_AUTOFILL_SERVICE توجيه المستخدم إلى
شاشة اختيار مقدّم الخدمة المفضّل. سيصبح الموفر المحدد على هذه الشاشة
مزود بيانات الاعتماد المفضل وموفر الملء التلقائي.
الحصول على قائمة مسموح بها من التطبيقات الحاصلة على امتياز
تقدّم التطبيقات المميّزة، مثل متصفّحات الويب، طلبات إلى "مدير بيانات الاعتماد" نيابةً عن
الأطراف الأخرى التي تعتمد على هذه البيانات من خلال ضبط المَعلمة origin في منهجَي GetCredentialRequest() و
CreatePublicKeyCredentialRequest() في "مدير بيانات الاعتماد". لمعالجة هذه الطلبات،
يسترجع موفِّر بيانات الاعتماد origin باستخدام واجهة برمجة التطبيقات getOrigin().
لاسترداد origin، يجب أن يُرسل تطبيق مقدّم بيانات الاعتماد قائمة بجهات الاتصال
المميّزة والموثوق بها إلى واجهة برمجة التطبيقات
androidx.credentials.provider.CallingAppInfo's getOrigin(). يجب أن تكون القائمة المسموح بها
كائنًا صالحًا بتنسيق JSON. يتم عرض origin إذا تطابق packageName والملفات المرجعية للشهادة التي تم الحصول عليها من signingInfo مع الملفات المرجعية المرتبطة بتطبيق تم العثور عليه في privilegedAllowlist والتي تم تمريرها إلى getOrigin() API. بعد الحصول على قيمة
origin، يجب أن يعتبر تطبيق الموفِّر هذا طلبًا مميّزًا
ويضبط origin على بيانات العميل
في AuthenticatorResponse، بدلاً من احتساب
origin باستخدام توقيع التطبيق المُتصل.
إذا استعدت origin، استخدِم clientDataHash المقدَّم مباشرةً
في CreatePublicKeyCredentialRequest() أو
GetPublicKeyCredentialOption() بدلاً من تجميع
clientDataJSON وإنشاء تشفيره أثناء طلب التوقيع. لتجنُّب مشاكل تحليل تنسيق JSON، اضبط
قيمة نائبة لسمة clientDataJSON في استجابة clientDataJSON.
يستخدم "مدير كلمات المرور في Google" قائمة مسموحًا بها ومتاحة للجميع للمكالمات الواردة إلى getOrigin(). بصفتك مقدّم بيانات اعتماد، يمكنك استخدام هذه القائمة أو
تقديم قائمتك الخاصة بتنسيق JSON الموضّح في واجهة برمجة التطبيقات. ويعود الأمر إلى
الموفّر لاختيار القائمة التي سيتم استخدامها. للحصول على وصول مميز من خلال موفري بيانات الاعتماد
التابعين لجهات خارجية، يمكنك الرجوع إلى الوثائق التي يقدمها الطرف الثالث.
تفعيل مقدّمي الخدمات على جهاز
على المستخدمين تفعيل موفّر الخدمة من خلال إعدادات الجهاز > كلمات المرور والحسابات > موفّر الخدمة > تفعيل أو إيقاف.
fun createSettingsPendingIntent(): PendingIntent