Kimlik Bilgisi Yöneticisi, Android 14'te kullanıma sunulan ve kullanıcı adı-şifre, geçiş anahtarları ve birleşik oturum açma çözümleri (ör. Google ile oturum açma) gibi birden fazla oturum açma yöntemini destekleyen bir API grubudur. Credential Manager API çağrılırsa Android sistemi, tüm kimlik bilgilerindeki kimlik bilgilerini toplar. sağlayıcıda yüklü olup olmadığını kontrol edin. Bu belgede, bu kimlik bilgisi sağlayıcılar için entegrasyon uç noktaları sağlayan API grubu açıklanmaktadır.
Kurulum
Kimlik bilgisi sağlayıcınıza işlevi uygulamadan önce kurulum adımlarına göz atın.
Bağımlılıkları bildirme
Modülünüzün build.gradle
dosyasında, Kimlik Bilgisi Yöneticisi kitaplığının son sürümünü kullanarak bir bağımlılık beyan edin:
implementation "androidx.credentials:credentials:1.2.0-{latest}"
Manifest dosyasında hizmet öğesini bildir
Uygulamanızın manifest dosyasına AndroidManifest.xml
, aşağıdaki örnekte gösterildiği gibi androidx.credentials kitaplığındaki CredentialProviderService
sınıfını genişleten bir hizmet sınıfı için <service>
beyanı ekleyin.
<service android:name=".MyCredentialProviderService"
android:enabled="true"
android:exported="true"
android:label="My Credential Provider"
android:icon="<any drawable icon>"
android:permission="android.permission.BIND_CREDENTIAL_PROVIDER_SERVICE">
<intent-filter>
<action android:name="android.service.credentials.CredentialProviderService"/>
</intent-filter>
<meta-data
android:name="android.credentials.provider"
android:resource="@xml/provider"/>
</service>
Yukarıda gösterilen izin ve intent filtresi, Kimlik Bilgisi Yöneticisi akışının beklendiği gibi çalışması için gereklidir. Yalnızca Android sistemi bu hizmete bağlanabilir. Amaç filtresi, tarafından kullanılmak üzere kimlik bilgisi sağlayıcı olarak bulunabilir. Kimlik Bilgisi Yöneticisi'ni tıklayın.
Desteklenen kimlik bilgisi türlerini bildirme
res/xml
dizininizde provider.xml
adlı yeni bir dosya oluşturun. Bu dosyada, hizmetinizin desteklediği kimlik bilgisi türlerini, kitaplıktaki her kimlik bilgisi türü için tanımlanan sabitler aracılığıyla belirtin. Aşağıdaki örnekte, hizmet hem geleneksel şifreleri hem de geçiş anahtarlarını desteklemektedir. Geçiş anahtarlarının sabit değerleri TYPE_PASSWORD_CREDENTIAL
ve TYPE_PUBLIC_KEY_CREDENTIAL
olarak tanımlanmıştır:
<?xml version="1.0" encoding="utf-8"?>
<credential-provider xmlns:android="http://schemas.android.com/apk/res/android">
<capabilities>
<capability name="android.credentials.TYPE_PASSWORD_CREDENTIAL" />
<capability name="androidx.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>
Önceki API düzeylerinde, kimlik bilgisi sağlayıcılar şifreler ve diğer veriler için otomatik doldurma gibi API'lerle entegre olur. Bu sağlayıcılar, aynı dahili hem mevcut kimlik bilgisi türlerini depolayacak hem de geçiş anahtarları dahil olmak üzere diğer kullanıcıları desteklemelidir.
Sağlayıcı etkileşimi için iki aşamalı yaklaşım
Kimlik Bilgisi Yöneticisi, kimlik bilgisi sağlayıcılarla iki aşamada etkileşim kurar:
- İlk aşama, sistemin kimlik bilgisi sağlayıcı hizmetlerine bağlandığı ve
Begin…
istekleriyleonBeginGetCredentialRequest()
,onBeginCreateCredentialRequest()
veyaonClearCredentialStateRequest()
yöntemlerini çağırdığı başlangıç/sorgu aşamasıdır. Sağlayıcılar bu istekleri işlemeli veBegin…
yanıtla yanıtlamalıdır. gösterilecek görsel seçenekleri temsil eden girişlerle doldurmak hesap seçicide. Her girişte birPendingIntent
grubu olmalıdır. - Kullanıcı bir giriş seçtiğinde seçim aşaması başlar ve
Girişle ilişkili
PendingIntent
tetiklendiğinde, sağlayıcı etkinlikleri olabilir. Kullanıcı bu etkinlikle etkileşimi sonlandırdıktan sonra kimlik bilgisi sağlayıcı, etkinliği sonlandırmadan önce yanıtı etkinliğin sonucuna göre ayarlamalıdır. Bu yanıt, daha sonra şu istemciyi kullanan istemci uygulamasına gönderilir: çağrılır.
Geçiş anahtarı oluşturma işlemini yönetme
Geçiş anahtarı oluşturma sorgularını işleme
Bir istemci uygulaması geçiş anahtarı oluşturmak ve bunu bir kimlik bilgisi sağlayıcıda depolamak istediğinde createCredential
API'yi çağırır. Bu isteği, kimlik bilgisi sağlayıcı hizmetinizde geçiş anahtarının depolama alanınızda depolanacağı şekilde işlemek için aşağıdaki bölümlerde gösterilen adımları tamamlayın.
CredentialProviderService
'den genişletilen hizmetinizdeonBeginCreateCredentialRequest()
yöntemini geçersiz kılın.- İlgili bir
BeginCreateCredentialResponse
oluşturup geri çağırma işlevine ileterekBeginCreateCredentialRequest
'i işleyin. BeginCreateCredentialResponse
oluştururken gerekliCreateEntries
öğesini ekleyin. HerCreateEntry
, bir Yeterlilik Belgesi'nin kaydedilebileceği bir hesap olmalı vePendingIntent
, diğer gerekli meta verilerle birlikte ayarlandı.
Aşağıdaki örnekte bu adımların nasıl uygulanacağı gösterilmektedir.
override fun onBeginCreateCredentialRequest(
request: BeginCreateCredentialRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<BeginCreateCredentialResponse, CreateCredentialException>,
) {
val response: BeginCreateCredentialResponse? = processCreateCredentialRequest(request)
if (response != null) {
callback.onResult(response)
} else {
callback.onError(CreateCredentialUnknownException())
}
}
fun processCreateCredentialRequest(request: BeginCreateCredentialRequest): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
}
// Request not supported
return null
}
private fun handleCreatePasskeyQuery(
request: BeginCreatePublicKeyCredentialRequest
): BeginCreateCredentialResponse {
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
val createEntries: MutableList<CreateEntry> = mutableListOf()
createEntries.add( CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
createEntries.add( CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSKEY_INTENT)
))
return BeginCreateCredentialResponse(createEntries)
}
private fun createNewPendingIntent(accountId: String, action: String): PendingIntent {
val intent = Intent(action).setPackage(PACKAGE_NAME)
// Add your local account ID as an extra to the intent, so that when
// user selects this entry, the credential can be saved to this
// account
intent.putExtra(EXTRA_KEY_ACCOUNT_ID, accountId)
return PendingIntent.getActivity(
applicationContext, UNIQUE_REQ_CODE,
intent, (
PendingIntent.FLAG_MUTABLE
or PendingIntent.FLAG_UPDATE_CURRENT
)
)
}
PendingIntent
yapınız aşağıdakilere uygun olmalıdır:
- İlgili Etkinlik, gerekli olabilecek tüm olası satışları ortaya çıkaracak şekilde Biyometrik istem, onay veya seçim gerekiyor.
- İlgili etkinlik çağrıldığında sağlayıcının ihtiyaç duyduğu tüm zorunlu veriler,
PendingIntent
'inizi oluşturmak için kullanılan intent'te ek olarak ayarlanmalıdır (ör. oluşturma akışında biraccountId
). PendingIntent
öğeniz, bayrakla birlikte oluşturulmalıdır Sistemin son öğeyi ekleyebilmesi içinPendingIntent.FLAG_MUTABLE
ekstra amaca yönelik istek yapar.- Kullanıcı bir girişi seçip geri dönüp yeniden seçebileceğinden
PendingIntent
,PendingIntent.FLAG_ONE_SHOT
işaretiyle oluşturulmamalıdır. Bu durumdaPendingIntent
iki kez tetiklenir. - Her girişin kendi
PendingIntent
değerine sahip olabilmesi içinPendingIntent
değeriniz benzersiz bir istek koduyla oluşturulmalıdır.
Geçiş anahtarı oluşturma istekleri için giriş seçimini işleme
- Kullanıcı daha önce doldurulmuş bir
CreateEntry
seçtiğinde ilgiliPendingIntent
çağrılır ve ilişkili sağlayıcıActivity
oluşturuldu. - Aktivitenizin
onCreate
yöntemi çağrıldıktan sonra, ilişkili intent'e erişin veProviderCreateCredentialRequest
almak içinPendingIntentHander
sınıfına iletin. - Şu konumdan
requestJson
,callingAppInfo
veclientDataHash
'yi çıkarın: isteği gönderin. - Ekstra intent'den yerel
accountId
öğesini çıkarın. Bu örnek bir uygulamadır uygulanması gerekli değildir. Bu hesap kimliği kullanılabilir kullanabilirsiniz. requestJson
öğesini doğrulayın. Aşağıdaki örnekte,PublicKeyCredentialCreationOptions
giriş JSON dosyasını bir yapılandırılmış bir sınıfı kullanın. Yeterlilik Belgesi sağlayıcısı olarak bunu kendi ayrıştırıcınızla değiştirebilirsiniz.- Arama, öğe bağlantısını yerel Android uygulamasıdır.
- Bir kimlik doğrulama istemi gösterin. Aşağıdaki örnekte Android Biometric API'si kullanılmaktadır.
- Kimlik doğrulama başarılı olduğunda bir
credentialId
ve anahtar çifti oluşturun. - Özel anahtarı yerel veritabanınızda
callingAppInfo.packageName
ile ilişkili olarak kaydedin. - Ortak anahtar ve
credentialId
içeren bir Web Authentication API JSON yanıtı oluşturun. Örnek aşağıdaAuthenticatorAttestationResponse
ve benzeri yerel yardımcı program sınıfları kullanılır Öncekine dayalı bir JSON oluşturulmasına yardımcı olanFidoPublicKeyCredential
bir kimlik bilgisi sağlayıcısı olarak bu sınıfları birlikte çalışırsınız. - Oluşturulan JSON ile bir
CreatePublicKeyCredentialResponse
oluşturun bölümünü ziyaret edin. PendingIntentHander.setCreateCredentialResponse()
aracılığıylaCreatePublicKeyCredentialResponse
'ü birIntent
'ta ekstra olarak ayarlayın ve bu intent'i Etkinlik'in sonucu olarak ayarlayın.- Etkinliği tamamlayın.
Aşağıdaki kod örneğinde bu adımlar gösterilmektedir. Bu kodun, onCreate()
çağrıldıktan sonra Activity sınıfınızda işlenmesi gerekir.
val request =
PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
if (request != null && request.callingRequest is CreatePublicKeyCredentialRequest) {
val publicKeyRequest: CreatePublicKeyCredentialRequest =
request.callingRequest as CreatePublicKeyCredentialRequest
createPasskey(
publicKeyRequest.requestJson,
request.callingAppInfo,
publicKeyRequest.clientDataHash,
accountId
)
}
fun createPasskey(
requestJson: String,
callingAppInfo: CallingAppInfo?,
clientDataHash: ByteArray?,
accountId: String?
) {
val request = PublicKeyCredentialCreationOptions(requestJson)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
// Generate a credentialId
val credentialId = ByteArray(32)
SecureRandom().nextBytes(credentialId)
// Generate a credential key pair
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC");
keyPairGen.initialize(spec)
val keyPair = keyPairGen.genKeyPair()
// Save passkey in your database as per your own implementation
// Create AuthenticatorAttestationResponse object to pass to
// FidoPublicKeyCredential
val response = AuthenticatorAttestationResponse(
requestOptions = request,
credentialId = credentialId,
credentialPublicKey = getPublicKeyFromKeyPair(keyPair),
origin = appInfoToOrigin(callingAppInfo),
up = true,
uv = true,
be = true,
bs = true,
packageName = callingAppInfo.packageName
)
val credential = FidoPublicKeyCredential(
rawId = credentialId, response = response
)
val result = Intent()
val createPublicKeyCredResponse =
CreatePublicKeyCredentialResponse(credential.json())
// Set the CreateCredentialResponse as the result of the Activity
PendingIntentHandler.setCreateCredentialResponse(
result, createPublicKeyCredResponse
)
setResult(Activity.RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Create passkey for ${request.rp.name}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
}
fun appInfoToOrigin(info: CallingAppInfo): String {
val cert = info.signingInfo.apkContentsSigners[0].toByteArray()
val md = MessageDigest.getInstance("SHA-256");
val certHash = md.digest(cert)
// This is the format for origin
return "android:apk-key-hash:${b64Encode(certHash)}"
}
Şifre oluşturma istekleriyle ilgili sorguları işleme
Şifre oluşturma istekleriyle ilgili sorguları işlemek için aşağıdakileri yapın:
- Önceki bölümde bahsedilen
processCreateCredentialRequest()
yönteminizin içine, şifre isteklerini işlemek için switch bloğuna başka bir durum ekleyin. BeginCreateCredentialResponse
oluştururken gerekliCreateEntries
.- Her
CreateEntry
, kimlik bilgisinin kullanılabileceği bir hesaba karşılık gelmelidir. ve diğer meta verilerle birlikte birPendingIntent
ayarlanmış olmalıdır.
Aşağıdaki örnekte bu adımların nasıl uygulanacağı gösterilmektedir:
fun processCreateCredentialRequest(
request: BeginCreateCredentialRequest
): BeginCreateCredentialResponse? {
when (request) {
is BeginCreatePublicKeyCredentialRequest -> {
// Request is passkey type
return handleCreatePasskeyQuery(request)
}
is BeginCreatePasswordCredentialRequest -> {
// Request is password type
return handleCreatePasswordQuery(request)
}
}
return null
}
private fun handleCreatePasswordQuery(
request: BeginCreatePasswordCredentialRequest
): BeginCreateCredentialResponse {
val createEntries: MutableList<CreateEntry> = mutableListOf()
// Adding two create entries - one for storing credentials to the 'Personal'
// account, and one for storing them to the 'Family' account. These
// accounts are local to this sample app only.
createEntries.add(
CreateEntry(
PERSONAL_ACCOUNT_ID,
createNewPendingIntent(PERSONAL_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
createEntries.add(
CreateEntry(
FAMILY_ACCOUNT_ID,
createNewPendingIntent(FAMILY_ACCOUNT_ID, CREATE_PASSWORD_INTENT)
)
)
return BeginCreateCredentialResponse(createEntries)
}
Şifre oluşturma istekleri için giriş seçimini işleme
Kullanıcı, doldurulmuş bir CreateEntry
seçtiğinde ilgili
PendingIntent
yürütülür ve ilişkili Etkinliği açar. Erişim
ilişkilendirilen amaç onCreate
içinde iletilmelidir ve bunu
ProviderCreateCredentialRequest
yöntemini almak için PendingIntentHander
sınıfı.
Aşağıdaki örnekte, bu işlemin nasıl uygulanacağı gösterilmektedir. Bu kodun, Etkinliğinizin onCreate()
yönteminde işlenmesi gerekir.
val createRequest = PendingIntentHandler.retrieveProviderCreateCredentialRequest(intent)
val accountId = intent.getStringExtra(CredentialsRepo.EXTRA_KEY_ACCOUNT_ID)
val request: CreatePasswordRequest = createRequest.callingRequest as CreatePasswordRequest
// Fetch the ID and password from the request and save it in your database
<your_database>.addNewPassword(
PasswordInfo(
request.id,
request.password,
createRequest.callingAppInfo.packageName
)
)
//Set the final response back
val result = Intent()
val response = CreatePasswordResponse()
PendingIntentHandler.setCreateCredentialResponse(result, response)
setResult(Activity.RESULT_OK, result)
this@<activity>.finish()
Kullanıcı oturum açma işlemlerini yönetme
Kullanıcı oturum açma işlemi aşağıdaki adımlarla gerçekleştirilir:
- Bir istemci uygulaması kullanıcı için oturum açmaya çalıştığında bir
GetCredentialRequest
örneği hazırlar. - Android çerçevesi, bu isteği geçerli tüm kimlik bilgilerine yayar bu hizmetlere bağlanarak.
- Ardından sağlayıcı hizmeti, her biri eşleşen kimlik bilgilerini almak için kullanılabilecek parametreler içeren
BeginGetCredentialOption
listesini içeren birBeginGetCredentialRequest
alır.
Kimlik bilgisi sağlayıcı hizmetinizde bu isteği işlemek için şu adımları uygulayın:
İsteği işlemek için
onBeginGetCredentialRequest()
yöntemini geçersiz kılın. Kimlik bilgileriniz kilitliyse, hemen birAuthenticationAction
ve geri aramayı çağırır.private val unlockEntryTitle = "Authenticate to continue" override fun onBeginGetCredentialRequest( request: BeginGetCredentialRequest, cancellationSignal: CancellationSignal, callback: OutcomeReceiver<BeginGetCredentialResponse, GetCredentialException>, ) { if (isAppLocked()) { callback.onResult(BeginGetCredentialResponse( authenticationActions = mutableListOf(AuthenticationAction( unlockEntryTitle, createUnlockPendingIntent()) ) ) ) return } try { response = processGetCredentialRequest(request) callback.onResult(response) } catch (e: GetCredentialException) { callback.onError(GetCredentialUnknownException()) } }
Dönmeden önce kimlik bilgilerinin kilidini açmayı gerektiren sağlayıcılar tüm
credentialEntries
, web'de gezinen ve beklemede olan bir amaç oluşturmalıdır kullanıcıyı uygulamanın kilit açma akışına yönlendirin:private fun createUnlockPendingIntent(): PendingIntent { val intent = Intent(UNLOCK_INTENT).setPackage(PACKAGE_NAME) return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, ( PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT ) ) }
Kimlik bilgilerini yerel veritabanınızdan alın ve seçicide gösterilmesi için
CredentialEntries
kullanarak ayarlayın. Geçiş anahtarları için, kullanıcı bu girişi seçtiğinde hangi kimlik bilgisiyle eşleneceğini bilmek amacıylacredentialId
'yi intent'te ek olarak ayarlayabilirsiniz.companion object { // These intent actions are specified for corresponding activities // that are to be invoked through the PendingIntent(s) private const val GET_PASSKEY_INTENT_ACTION = "PACKAGE_NAME.GET_PASSKEY" private const val GET_PASSWORD_INTENT_ACTION = "PACKAGE_NAME.GET_PASSWORD" } fun processGetCredentialsRequest( request: BeginGetCredentialRequest ): BeginGetCredentialResponse { val callingPackage = request.callingAppInfo?.packageName val credentialEntries: MutableList<CredentialEntry> = mutableListOf() for (option in request.beginGetCredentialOptions) { when (option) { is BeginGetPasswordOption -> { credentialEntries.addAll( populatePasswordData( callingPackage, option ) ) } is BeginGetPublicKeyCredentialOption -> { credentialEntries.addAll( populatePasskeyData( callingPackage, option ) ) ) } else -> { Log.i(TAG, "Request not supported") } } } return BeginGetCredentialResponse(credentialEntries) }
Veritabanında kimlik bilgilerini sorgulayın, doldurmak için geçiş anahtarı ve şifre girişleri oluşturun.
private fun populatePasskeyData( callingAppInfo: CallingAppInfo, option: BeginGetPublicKeyCredentialOption ): List<CredentialEntry> { val passkeyEntries: MutableList<CredentialEntry> = mutableListOf() val request = PublicKeyCredentialRequestOptions(option.requestJson) // Get your credentials from database where you saved during creation flow val creds = <getCredentialsFromInternalDb(request.rpId)> val passkeys = creds.passkeys for (passkey in passkeys) { val data = Bundle() data.putString("credId", passkey.credId) passkeyEntries.add( PublicKeyCredentialEntry( context = applicationContext, username = passkey.username, pendingIntent = createNewPendingIntent( GET_PASSKEY_INTENT_ACTION, data ), beginPublicKeyCredentialOption = option, displayName = passkey.displayName, icon = passkey.icon ) ) } return passkeyEntries } // Fetch password credentials and create password entries to populate to // the user private fun populatePasswordData( callingPackage: String, option: BeginGetPasswordOption ): List<CredentialEntry> { val passwordEntries: MutableList<CredentialEntry> = mutableListOf() // Get your password credentials from database where you saved during // creation flow val creds = <getCredentialsFromInternalDb(callingPackage)> val passwords = creds.passwords for (password in passwords) { passwordEntries.add( PasswordCredentialEntry( context = applicationContext, username = password.username, pendingIntent = createNewPendingIntent( GET_PASSWORD_INTENT ), beginGetPasswordOption = option displayName = password.username, icon = password.icon ) ) } return passwordEntries } private fun createNewPendingIntent( action: String, extra: Bundle? = null ): PendingIntent { val intent = Intent(action).setPackage(PACKAGE_NAME) if (extra != null) { intent.putExtra("CREDENTIAL_DATA", extra) } return PendingIntent.getActivity( applicationContext, UNIQUE_REQUEST_CODE, intent, (PendingIntent.FLAG_MUTABLE or PendingIntent.FLAG_UPDATE_CURRENT) ) }
Kimlik bilgilerini sorgulayıp doldurduktan sonra, artık kullanıcı tarafından seçilen kimlik bilgilerinin seçim aşaması geçiş anahtarı veya şifredir.
Geçiş anahtarları için kullanıcı seçimini işleme
- İlgili etkinliğin
onCreate
yönteminde amaçlarını belirleyipPendingIntentHandler.retrieveProviderGetCredentialRequest()
- Yukarıda alınan istekten
GetPublicKeyCredentialOption
öğesini ayıklayın. Ardından, bu seçenektenrequestJson
veclientDataHash
dosyalarını çıkarın. - Ekstra intent'den
credentialId
çıkarın. Bu amaç kimlik bilgisi sağlayıcısını gönderin.PendingIntent
- Yukarıda erişilen istek parametrelerini kullanarak geçiş anahtarını yerel veritabanınızdan çıkarın.
Geçiş anahtarının, çıkarılan meta veriler ve kullanıcı ile geçerli olduğunu onaylayın doğrulama.
val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val publicKeyRequest = getRequest.credentialOption as GetPublicKeyCredentialOption val requestInfo = intent.getBundleExtra("CREDENTIAL_DATA") val credIdEnc = requestInfo.getString("credId") // Get the saved passkey from your database based on the credential ID // from the publickeyRequest val passkey = <your database>.getPasskey(credIdEnc) // Decode the credential ID, private key and user ID val credId = b64Decode(credIdEnc) val privateKey = b64Decode(passkey.credPrivateKey) val uid = b64Decode(passkey.uid) val origin = appInfoToOrigin(getRequest.callingAppInfo) val packageName = getRequest.callingAppInfo.packageName validatePasskey( publicKeyRequest.requestJson, origin, packageName, uid, passkey.username, credId, privateKey )
Kullanıcıyı doğrulamak için bir biyometrik istem (veya başka bir iddia yöntemi) gösterin. Aşağıdaki kod snippet'i Android Biometrik API'yi kullanır.
Kimlik doğrulama başarılı olduğunda W3 Web Kimlik Doğrulama Beyanıyla İlgili Spesifikasyon'a dayalı bir JSON yanıtı oluşturun. Aşağıdaki kod snippet'inde, yapılandırılmış parametreleri alıp gerekli JSON biçimine dönüştürmek için
AuthenticatorAssertionResponse
gibi yardımcı veri sınıfları kullanılır. Yanıt, dijital imza WebAuthn kimlik bilgisinin özel anahtarı. Güvenen tarafın sunucusu, oturum açmadan önce kullanıcının kimliğini doğrulamak için bu imzayı doğrulayabilir.Yukarıda oluşturulan JSON dosyasını kullanarak bir
PublicKeyCredential
oluşturun ve son birGetCredentialResponse
olarak ayarlayın. Bu son yanıtı şu tarihte ayarla: bu etkinliğin bir sonucu olarak görülecek.
Aşağıdaki örnekte bu adımların nasıl uygulanabileceği gösterilmektedir:
val request = PublicKeyCredentialRequestOptions(requestJson)
val privateKey: ECPrivateKey = convertPrivateKey(privateKeyBytes)
val biometricPrompt = BiometricPrompt(
this,
<executor>,
object : BiometricPrompt.AuthenticationCallback() {
override fun onAuthenticationError(
errorCode: Int, errString: CharSequence
) {
super.onAuthenticationError(errorCode, errString)
finish()
}
override fun onAuthenticationFailed() {
super.onAuthenticationFailed()
finish()
}
override fun onAuthenticationSucceeded(
result: BiometricPrompt.AuthenticationResult
) {
super.onAuthenticationSucceeded(result)
val response = AuthenticatorAssertionResponse(
requestOptions = request,
credentialId = credId,
origin = origin,
up = true,
uv = true,
be = true,
bs = true,
userHandle = uid,
packageName = packageName
)
val sig = Signature.getInstance("SHA256withECDSA");
sig.initSign(privateKey)
sig.update(response.dataToSign())
response.signature = sig.sign()
val credential = FidoPublicKeyCredential(
rawId = credId, response = response
)
val result = Intent()
val passkeyCredential = PublicKeyCredential(credential.json)
PendingIntentHandler.setGetCredentialResponse(
result, GetCredentialResponse(passkeyCredential)
)
setResult(RESULT_OK, result)
finish()
}
}
)
val promptInfo = BiometricPrompt.PromptInfo.Builder()
.setTitle("Use your screen lock")
.setSubtitle("Use passkey for ${request.rpId}")
.setAllowedAuthenticators(
BiometricManager.Authenticators.BIOMETRIC_STRONG
/* or BiometricManager.Authenticators.DEVICE_CREDENTIAL */
)
.build()
biometricPrompt.authenticate(promptInfo)
Şifre kimlik doğrulaması için kullanıcı seçimini işleme
- İlgili etkinliğinizde,
onCreate
'e iletilen intent'e erişin vePendingIntentHandler
kullanarakProviderGetCredentialRequest
'yi ayıklayın. Gelen paket adının şifre kimlik bilgilerini almak için istekte
GetPasswordOption
kullanın.val getRequest = PendingIntentHandler.retrieveProviderGetCredentialRequest(intent) val passwordOption = getRequest.credentialOption as GetPasswordCredentialOption val username = passwordOption.username // Fetch the credentials for the calling app package name val creds = <your_database>.getCredentials(callingAppInfo.packageName) val passwords = creds.passwords val it = passwords.iterator() var password = "" while (it.hasNext() == true) { val passwordItemCurrent = it.next() if (passwordItemCurrent.username == username) { password = passwordItemCurrent.password break } }
Aldıktan sonra, seçilen şifre kimlik bilgisi için yanıtı ayarlayın.
// Set the response back val result = Intent() val passwordCredential = PasswordCredential(username, password) PendingIntentHandler.setGetCredentialResponse( result, GetCredentialResponse(passwordCredential) ) setResult(Activity.RESULT_OK, result) finish()
Kimlik doğrulama işlemi girişi seçimini işleyin
Daha önce de belirtildiği gibi, kimlik bilgisi sağlayıcı, kimlik bilgileri kilitliyse bir AuthenticationAction
ayarlayabilir. Kullanıcı bu girişi seçerse PendingIntent
içinde ayarlanan intent işlemine karşılık gelen etkinlik çağrılır. Kimlik bilgisi sağlayıcılar, kimlik bilgilerinin kilidini açmak için bir biyometrik kimlik doğrulama akışı veya benzer bir mekanizma gösterebilir. İşlem başarılı olduğunda kimlik bilgilerinin kilidi açılmış olacağından kimlik bilgisi sağlayıcı, kullanıcı oturum açma işleminin yukarıda açıklandığı şekilde bir BeginGetCredentialResponse
oluşturmalıdır. Bu yanıt, daha sonra
PendingIntentHandler.setBeginGetCredentialResponse()
yöntemi önce
Sonuç olarak hazırlanan amaç ayarlanır ve etkinlik tamamlanır.
Kimlik bilgisi isteklerini temizleme
Bir istemci uygulaması, kimlik bilgisi seçimi için korunan herhangi bir eyaletin
olabilir; örneğin, kimlik bilgisi sağlayıcı daha önce seçilen
yalnızca bir dahaki sefere bu bilgileri döndürür. Bir istemci uygulaması bu API'yi çağırır ve
sabit seçimin temizlenmesini bekler. Kimlik bilgisi sağlayıcı hizmetiniz, onClearCredentialStateRequest()
yöntemini geçersiz kılarak bu isteği işleyebilir:
override fun onClearCredentialStateRequest(
request: android.service.credentials.ClearCredentialStateRequest,
cancellationSignal: CancellationSignal,
callback: OutcomeReceiver<Void?, ClearCredentialException>,
) {
// Delete any maintained state as appropriate.
}
Sağlayıcınızın ayarlar sayfasına bağlantı ekleme özelliğini ekleyin
Kullanıcılarınızın Şifreler, geçiş anahtarları ve otomatik doldurma ekranından sağlayıcınızın ayarlarını açmasına izin vermek için kimlik bilgisi sağlayıcı uygulamaları, res/xml/provider.xml
içinde credential-provider
settingsActivity
manifest özelliğini uygulamalıdır. Bu özellik, kullanıcı Şifreler, geçiş anahtarları ve otomatik doldurma hizmet listesinde bir sağlayıcı adını tıkladığında uygulamanızın kendi ayarlar ekranını açmak için bir intent kullanmanıza olanak tanır. Bu özelliğin değerini, ayarlar ekranından başlatılacak etkinliğin adına ayarlayın.
<credential-provider
xmlns:android="http://schemas.android.com/apk/res/android"
android:settingsSubtitle="Example settings provider name"
android:settingsActivity="com.example.SettingsActivity">
<capabilities>
<capability name="android.credentials.TYPE_PUBLIC_KEY_CREDENTIAL" />
</capabilities>
</credential-provider>

Amaçları ayarla
Ayarları açın: android.settings.CREDENTIAL_PROVIDER
kullanıcının tercih ettiği ve istediği öğeyi seçebileceği bir ayarlar ekranı
ek kimlik bilgisi sağlayıcıları.

Tercih edilen kimlik bilgisi hizmeti:
ACTION_REQUEST_SET_AUTOFILL_SERVICE
intent, kullanıcılarınızı
sağlayıcı seçim ekranı görünür. Bu ekranda seçilen sağlayıcı, tercih edilen kimlik bilgileri ve otomatik doldurma sağlayıcısı olur.

Ayrıcalıklı uygulamaların izin verilenler listesini edinme
Web tarayıcıları gibi ayrıcalıklı uygulamalar,
Kimlik Bilgisi'nde origin
parametresini ayarlayarak diğer bağlı tarafların
Yönetici GetCredentialRequest()
ve
CreatePublicKeyCredentialRequest()
yöntemini kullanabilirsiniz. Bu talepleri işleme almak için
Kimlik bilgisi sağlayıcı, origin
öğesini getOrigin()
kullanarak alır
API'ye gidin.
origin
'ü almak için kimlik bilgisi sağlayıcı uygulamasının, ayrıcalıklı ve güvenilir çağrıcıların listesini androidx.credentials.provider.CallingAppInfo's getOrigin()
API'ye iletmesi gerekir. Bu izin verilenler listesi geçerli bir JSON nesnesi olmalıdır. origin
, packageName
ve
signingInfo
adresinden alınan sertifika parmak izleri, bir uygulamanın parmak izleriyle eşleşiyor
privilegedAllowlist
ürününde bulunan getOrigin()
API'ye aktarılmıştır.
origin
değeri alındı, sağlayıcı uygulaması bunu ayrıcalıklı bir değer olarak kabul etmelidir
çağrısı yapın ve origin
istemci verilerinde ayarlayın
AuthenticatorResponse
içinde
origin
(telefon görüşmesi uygulamasının imzasını kullanarak).
Bir origin
alırsanız imza isteği sırasında clientDataJSON
'yi birleştirip karma oluşturmak yerine doğrudan CreatePublicKeyCredentialRequest()
veya GetPublicKeyCredentialOption()
içinde sağlanan clientDataHash
'yi kullanın. JSON ayrıştırma sorunlarını önlemek için
onay ve onaylamada clientDataJSON
için bir yer tutucu değer
tıklayın.
Google Şifre Yöneticisi, getOrigin()
çağrıları için herkese açık bir izin verilenler listesi kullanır. Yeterlilik Belgesi sağlayıcısı olarak bu listeyi veya
API tarafından tanımlanan JSON biçiminde kendi şablonunuzu sağlayın. Hangi listenin kullanılacağını belirleme hakkı sağlayıcıya aittir. Üçüncü taraf kimlik bilgisi sağlayıcılarla ayrıcalıklı erişim elde etmek için üçüncü taraf tarafından sağlanan dokümanlara bakın.
Bir cihazda sağlayıcıları etkinleştirme
Kullanıcıların, sağlayıcıyı şuradan etkinleştirmesi gerekir: cihaz ayarları > Şifreler ve Hesaplar > Sağlayıcınız > Etkinleştirin veya Devre Dışı Bırakın.
fun createSettingsPendingIntent(): PendingIntent