Благодаря поддержке паролей , федеративного входа и сторонних поставщиков аутентификации, Credential Manager является рекомендуемым API для аутентификации на Android, предоставляя безопасную и удобную среду, позволяющую пользователям синхронизировать свои учётные данные и управлять ими. Разработчикам, использующим локальные учётные данные FIDO2 , следует обновить своё приложение для поддержки аутентификации по паролю, интегрировав его с API Credential Manager. В этом документе описывается, как перенести проект из FIDO2 в Credential Manager.
Причины перехода с FIDO2 на Credential Manager
В большинстве случаев вам следует перенести поставщика аутентификации вашего Android-приложения в Credential Manager. Вот несколько причин для перехода на Credential Manager:
- Поддержка паролей: Credential Manager поддерживает пароли — новый механизм аутентификации без пароля, который более безопасен и прост в использовании, чем пароли.
- Несколько способов входа: Credential Manager поддерживает несколько способов входа, включая пароли, ключи доступа и федеративные методы входа. Это упрощает аутентификацию пользователей в вашем приложении независимо от предпочитаемого ими метода аутентификации.
- Поддержка сторонних поставщиков учётных данных: на Android 14 и более поздних версиях Credential Manager поддерживает несколько сторонних поставщиков учётных данных. Это означает, что ваши пользователи могут использовать свои существующие учётные данные от других поставщиков для входа в ваше приложение.
- Единообразный пользовательский интерфейс: Credential Manager обеспечивает более единообразный пользовательский интерфейс для аутентификации в различных приложениях и механизмах входа. Это упрощает понимание и использование процесса аутентификации в вашем приложении.
Чтобы начать миграцию из FIDO2 в Credential Manager, выполните следующие действия.
Обновление зависимостей
Обновите плагин Kotlin в build.gradle вашего проекта до версии 1.8.10 или выше.
plugins { //… id 'org.jetbrains.kotlin.android' version '1.8.10' apply false //… }
В
build.gradle
вашего проекта обновите зависимости, чтобы использовать последние версии библиотек Credential Manager и Play Services Authentication.dependencies { // ... // Credential Manager: implementation 'androidx.credentials:credentials:<latest-version>' // Play Services Authentication: // Optional - needed for credentials support from play services, for devices running // Android 13 and below: implementation 'androidx.credentials:credentials-play-services-auth:<latest-version>' // ... }
Замените инициализацию FIDO на инициализацию Credential Manager. Добавьте это объявление в класс, который вы используете для методов создания ключа доступа и входа:
val credMan = CredentialManager.create(context)
Создать ключи доступа
Вам потребуется создать новый ключ доступа, связать его с учётной записью пользователя и сохранить открытый ключ ключа доступа на сервере, прежде чем пользователь сможет войти с его помощью. Настройте приложение, добавив эту возможность, обновив вызовы функций регистра.
Чтобы получить необходимые параметры, которые отправляются в метод
createCredential()
во время создания ключа доступа, добавьтеname("residentKey").value("required")
, как описано в спецификации WebAuthn , к вызову сервераregisterRequest()
.suspend fun registerRequest() { // ... val call = client.newCall( Builder() .method("POST", jsonRequestBody { name("attestation").value("none") name("authenticatorSelection").objectValue { name("residentKey").value("required") } }).build() ) // ... }
Установите тип
return
дляregisterRequest()
и всех дочерних функций наJSONObject
.suspend fun registerRequest(sessionId: String): ApiResult<JSONObject> { val call = client.newCall( Builder() .url("$BASE_URL/<your api url>") .addHeader("Cookie", formatCookie(sessionId)) .method("POST", jsonRequestBody { name("attestation").value("none") name("authenticatorSelection").objectValue { name("authenticatorAttachment").value("platform") name("userVerification").value("required") name("residentKey").value("required") } }).build() ) val response = call.await() return response.result("Error calling the api") { parsePublicKeyCredentialCreationOptions( body ?: throw ApiException("Empty response from the api call") ) } }
Безопасно удалите из вашего представления все методы, обрабатывающие вызовы запуска намерений и результатов действий.
Поскольку
registerRequest()
теперь возвращаетJSONObject
, вам не нужно создаватьPendingIntent
. Замените возвращаемое намерение наJSONObject
. Обновите вызовы средства запуска намерений, чтобы вызыватьcreateCredential()
из API диспетчера учётных данных. Вызовите метод APIcreateCredential()
.suspend fun createPasskey( activity: Activity, requestResult: JSONObject ): CreatePublicKeyCredentialResponse? { val request = CreatePublicKeyCredentialRequest(requestResult.toString()) var response: CreatePublicKeyCredentialResponse? = null try { response = credMan.createCredential( request = request as CreateCredentialRequest, context = activity ) as CreatePublicKeyCredentialResponse } catch (e: CreateCredentialException) { showErrorAlert(activity, e) return null } return response }
После успешного вызова отправьте ответ обратно на сервер. Запрос и ответ для этого вызова аналогичны реализации FIDO2, поэтому никаких изменений не требуется.
Аутентификация с помощью паролей
После настройки создания ключей доступа вы можете настроить приложение так, чтобы пользователи могли входить в систему и проходить аутентификацию с помощью своих ключей доступа. Для этого вам нужно обновить код аутентификации для обработки результатов Credential Manager и реализовать функцию аутентификации с помощью ключей доступа.
- Ваш запрос на вход на сервер для получения необходимой информации для отправки в запрос
getCredential()
аналогичен реализации FIDO2. Никаких изменений не требуется. Аналогично вызову запроса на регистрацию, возвращаемый ответ имеет формат JSONObject.
/** * @param sessionId The session ID to be used for the sign-in. * @param credentialId The credential ID of this device. * @return a JSON object. */ suspend fun signinRequest(): ApiResult<JSONObject> { val call = client.newCall(Builder().url(buildString { append("$BASE_URL/signinRequest") }).method("POST", jsonRequestBody {}) .build() ) val response = call.await() return response.result("Error calling /signinRequest") { parsePublicKeyCredentialRequestOptions( body ?: throw ApiException("Empty response from /signinRequest") ) } } /** * @param sessionId The session ID to be used for the sign-in. * @param response The JSONObject for signInResponse. * @param credentialId id/rawId. * @return A list of all the credentials registered on the server, * including the newly-registered one. */ suspend fun signinResponse( sessionId: String, response: JSONObject, credentialId: String ): ApiResult<Unit> { val call = client.newCall( Builder().url("$BASE_URL/signinResponse") .addHeader("Cookie",formatCookie(sessionId)) .method("POST", jsonRequestBody { name("id").value(credentialId) name("type").value(PUBLIC_KEY.toString()) name("rawId").value(credentialId) name("response").objectValue { name("clientDataJSON").value( response.getString("clientDataJSON") ) name("authenticatorData").value( response.getString("authenticatorData") ) name("signature").value( response.getString("signature") ) name("userHandle").value( response.getString("userHandle") ) } }).build() ) val apiResponse = call.await() return apiResponse.result("Error calling /signingResponse") { } }
Безопасно удалите из вашего представления все методы, которые обрабатывают вызовы средства запуска намерений и результатов активности.
Поскольку
signInRequest()
теперь возвращаетJSONObject
, вам не нужно создаватьPendingIntent
. Замените возвращаемое намерение наJSONObject
и вызовитеgetCredential()
из методов API.suspend fun getPasskey( activity: Activity, creationResult: JSONObject ): GetCredentialResponse? { Toast.makeText( activity, "Fetching previously stored credentials", Toast.LENGTH_SHORT) .show() var result: GetCredentialResponse? = null try { val request= GetCredentialRequest( listOf( GetPublicKeyCredentialOption( creationResult.toString(), null ), GetPasswordOption() ) ) result = credMan.getCredential(activity, request) if (result.credential is PublicKeyCredential) { val publicKeycredential = result.credential as PublicKeyCredential Log.i("TAG", "Passkey ${publicKeycredential.authenticationResponseJson}") return result } } catch (e: Exception) { showErrorAlert(activity, e) } return result }
После успешного вызова отправьте ответ обратно на сервер для проверки и аутентификации пользователя. Параметры запроса и ответа для этого вызова API аналогичны реализации FIDO2, поэтому никаких изменений не требуется.
Дополнительные ресурсы
- Образец ссылки на диспетчер учетных данных
- Менеджер учетных данных Codelab
- Обеспечение бесперебойной аутентификации в ваших приложениях с помощью паролей с использованием API Credential Manager
- FIDO2 codelab