目前正处于一个相当漫长的过程中,决定在正在开发的应用程序中使用TouchID,出于安全考虑,并且想知道是否有人有任何建议?
从产品的角度来看,这个想法是用户可以使用用户名/密码注册应用程序(如果没有触摸ID的设备可以退回,则为bog标准流程),然后在以后的日期,如果通过应用内偏好启用,使用TouchID系统“登录”应用程序,而不是再次输入用户名/密码。
我担心的是,这意味着我们必须在设备上存储某些东西(成功触摸时可以检索),然后可以对用户进行身份验证并允许他们访问API(通过JWT令牌,但可能无关紧要)。
这几乎与我所阅读过的所有内容相关,并且涉及移动应用程序开发,即在客户端设备上存储任何敏感内容,这样就可以打开攻击媒介。
然而 - 许多应用程序已经这样做了,所以我想知道启用这样一个功能的典型过程是什么?
该应用程序本质上是敏感的,有一些个人信息管理如果泄露会很糟糕,如果这对方法有所影响!
提前谢谢