Grazie al supporto di passkey, accessi federati e provider di autenticazione di terze parti, Credential Manager è l'API consigliata per l'autenticazione su Android, che offre un ambiente sicuro e pratico che consente agli utenti di sincronizzare e gestire le proprie credenziali. Per gli sviluppatori che utilizzano le credenziali FIDO2 locali, devi aggiornare l'app per supportare l'autenticazione tramite passkey tramite l'integrazione con l'API Credential Manager. Questo documento descrive come eseguire la migrazione del progetto da FIDO2 a Gestore delle credenziali.
Motivi per eseguire la migrazione da FIDO2 a Gestore delle credenziali
Nella maggior parte dei casi, devi eseguire la migrazione del provider di autenticazione della tua app Android a Gestore delle credenziali. I motivi per eseguire la migrazione a Gestore delle credenziali includono:
- Supporto delle passkey: Gestore delle credenziali supporta le passkey, un nuovo meccanismo di autenticazione senza password più sicuro e facile da usare delle password.
- Più metodi di accesso: Gestore delle credenziali supporta più metodi di accesso, tra cui password, passkey e metodi di accesso federato. In questo modo, gli utenti possono eseguire l'autenticazione più facilmente nella tua app, indipendentemente dal metodo di autenticazione preferito.
- Supporto dei provider di credenziali di terze parti: su Android 14 e versioni successive, Gestore delle credenziali supporta più provider di credenziali di terze parti. Ciò significa che gli utenti possono utilizzare le proprie credenziali esistenti di altri provider per accedere alla tua app.
- Esperienza utente coerente: Gestore delle credenziali offre un'esperienza utente più coerente per l'autenticazione tra app e meccanismi di accesso. In questo modo, per gli utenti è più facile comprendere e utilizzare il flusso di autenticazione dell'app.
Per avviare la migrazione da FIDO2 a Gestore delle credenziali, segui i passaggi riportati di seguito.
Aggiorna dipendenze
Aggiorna il plug-in Kotlin nel file build.gradle del tuo progetto alla versione 1.8.10 o successiva.
plugins { //… id 'org.jetbrains.kotlin.android' version '1.8.10' apply false //… }
Nella build.gradle del progetto, aggiorna le dipendenze per utilizzare l'autenticazione di Gestore delle credenziali e Play Services.
dependencies { // ... // Credential Manager: implementation 'androidx.credentials:credentials:<latest-version>' // Play Services Authentication: // Optional - needed for credentials support from play services, for devices running // Android 13 and below: implementation 'androidx.credentials:credentials-play-services-auth:<latest-version>' // ... }
Sostituisci l'inizializzazione di FIDO con l'inizializzazione di Gestore delle credenziali. Aggiungi questa dichiarazione nel corso che utilizzi per la creazione di passkey e i metodi di accesso:
val credMan = CredentialManager.create(context)
Crea passkey
Dovrai creare una nuova passkey, associarla all'account di un utente e archiviare la chiave pubblica della passkey sul tuo server prima che l'utente possa accedere con la passkey. Configura la tua app con questa funzionalità aggiornando le chiamate delle funzioni di registrazione.
Per ottenere i parametri necessari da inviare al metodo
createCredential()
durante la creazione della passkey, aggiunginame("residentKey").value("required")
come descritto nella specifica WebAuthn) alla tua chiamata serverregisterRequest()
.suspend fun registerRequest(sessionId: String ... { // ... .method("POST", jsonRequestBody { name("attestation").value("none") name("authenticatorSelection").objectValue { name("residentKey").value("required") } }).build() // ... }
Imposta il tipo
return
perregisterRequest()
e tutte le funzioni figlio suJSONObject
.suspend fun registerRequest(sessionId: String): ApiResult<JSONObject> { val call = client.newCall( Request.Builder() .url("$BASE_URL/<your api url>") .addHeader("Cookie", formatCookie(sessionId)) .method("POST", jsonRequestBody { name("attestation").value("none") name("authenticatorSelection").objectValue { name("authenticatorAttachment").value("platform") name("userVerification").value("required") name("residentKey").value("required") } }).build() ) val response = call.await() return response.result("Error calling the api") { parsePublicKeyCredentialCreationOptions( body ?: throw ApiException("Empty response from the api call") ) } }
Rimuovi in sicurezza dalla tua visualizzazione tutti i metodi che gestiscono l'Avvio app di intent e le chiamate dei risultati delle attività.
Poiché ora
registerRequest()
restituisceJSONObject
, non è necessario creare unPendingIntent
. Sostituisci l'intent restituito con unJSONObject
. Aggiorna le chiamate dell'Avvio app di intent per chiamarecreateCredential()
dall'API Credential Manager. Chiama il metodo APIcreateCredential()
.suspend fun createPasskey( activity: Activity, requestResult: JSONObject ): CreatePublicKeyCredentialResponse? { val request = CreatePublicKeyCredentialRequest(requestResult.toString()) var response: CreatePublicKeyCredentialResponse? = null try { response = credMan.createCredential( request as CreateCredentialRequest, activity ) as CreatePublicKeyCredentialResponse } catch (e: CreateCredentialException) { showErrorAlert(activity, e) return null } return response }
Una volta che la chiamata ha esito positivo, invia la risposta al server. La richiesta e la risposta per questa chiamata sono simili all'implementazione FIDO2, quindi non sono necessarie modifiche.
Autenticazione con passkey
Dopo aver configurato la creazione di una passkey, puoi configurare la tua app in modo che gli utenti possano accedere e autenticarsi utilizzando le loro passkey. A tale scopo, aggiornerai il codice di autenticazione per gestire i risultati di Gestore delle credenziali e implementerai una funzione per l'autenticazione tramite passkey.
- La chiamata di richiesta di accesso al server per ottenere le informazioni necessarie da inviare alla richiesta
getCredential()
corrisponde all'implementazione FIDO2. Non sono necessarie modifiche. Analogamente alla chiamata di richiesta di registrazione, la risposta restituita è in formato JSONObject.
/** * @param sessionId The session ID to be used for the sign-in. * @param credentialId The credential ID of this device. * @return a JSON object. */ suspend fun signinRequest(): ApiResult<JSONObject> { val call = client.newCall(Builder().url(buildString { append("$BASE_URL/signinRequest") }).method("POST", jsonRequestBody {}) .build() ) val response = call.await() return response.result("Error calling /signinRequest") { parsePublicKeyCredentialRequestOptions( body ?: throw ApiException("Empty response from /signinRequest") ) } } /** * @param sessionId The session ID to be used for the sign-in. * @param response The JSONObject for signInResponse. * @param credentialId id/rawId. * @return A list of all the credentials registered on the server, * including the newly-registered one. */ suspend fun signinResponse( sessionId: String, response: JSONObject, credentialId: String ): ApiResult<Unit> { val call = client.newCall( Builder().url("$BASE_URL/signinResponse") .addHeader("Cookie",formatCookie(sessionId)) .method("POST", jsonRequestBody { name("id").value(credentialId) name("type").value(PUBLIC_KEY.toString()) name("rawId").value(credentialId) name("response").objectValue { name("clientDataJSON").value( response.getString("clientDataJSON") ) name("authenticatorData").value( response.getString("authenticatorData") ) name("signature").value( response.getString("signature") ) name("userHandle").value( response.getString("userHandle") ) } }).build() ) val apiResponse = call.await() return apiResponse.result("Error calling /signingResponse") { } }
Rimuovi in sicurezza dalla tua visualizzazione tutti i metodi che gestiscono Avvio app di intent e chiamate risultato attività.
Poiché ora
signInRequest()
restituisce unJSONObject
, non è necessario creare unPendingIntent
. Sostituisci l'intent restituito conJSONObject
e chiamagetCredential()
dai tuoi metodi API.suspend fun getPasskey( activity: Activity, creationResult: JSONObject ): GetCredentialResponse? { Toast.makeText( activity, "Fetching previously stored credentials", Toast.LENGTH_SHORT) .show() var result: GetCredentialResponse? = null try { val request= GetCredentialRequest( listOf( GetPublicKeyCredentialOption( creationResult.toString(), null ), GetPasswordOption() ) ) result = credMan.getCredential(activity, request) if (result.credential is PublicKeyCredential) { val publicKeycredential = result.credential as PublicKeyCredential Log.i("TAG", "Passkey ${publicKeycredential.authenticationResponseJson}") return result } } catch (e: Exception) { showErrorAlert(activity, e) } return result }
Una volta riuscita la chiamata, invia la risposta al server per convalidare e autenticare l'utente. I parametri di richiesta e risposta per questa chiamata API sono simili all'implementazione FIDO2, quindi non sono necessarie modifiche.