在我的应用中,用户可以使用电子邮件/密码验证/登录我的后端。现在我正在考虑实现触摸ID。
但我对使用触控ID的登录流感到困惑。
使用下面的代码,我可以轻松验证用户身份:
func authenticateUser() {
let context = LAContext()
var error: NSError?
if context.canEvaluatePolicy(.deviceOwnerAuthenticationWithBiometrics, error: &error) {
let reason = "Identify yourself!"
context.evaluatePolicy(.deviceOwnerAuthenticationWithBiometrics, localizedReason: reason) {
[unowned self] success, authenticationError in
DispatchQueue.main.async {
if success {
self.runSecretCode()
} else {
let ac = UIAlertController(title: "Authentication failed", message: "Sorry!", preferredStyle: .alert)
ac.addAction(UIAlertAction(title: "OK", style: .default))
self.present(ac, animated: true)
}
}
}
} else {
let ac = UIAlertController(title: "Touch ID not available", message: "Your device is not configured for Touch ID.", preferredStyle: .alert)
ac.addAction(UIAlertAction(title: "OK", style: .default))
present(ac, animated: true)
}
}
但我不知道它是哪个用户。
因此,当用户创建帐户时,我应该在我的数据库中存储类似设备ID(如果存在)的内容,那么当用户使用触摸ID时,我可以检查它是什么设备ID然后将用户登录? / p>
答案 0 :(得分:0)
据我了解,触摸ID仅充当本机应用程序本身的网守,而不是API。
无论如何,您的用户都必须至少向API进行一次身份验证才能获取某种秘密令牌(JWT等),然后通过关闭/打开应用程序将其保留下来。在您的应用开始调用API之前,Touch ID必须成功,但是API只会根据机密进行验证。
这样,您可以在不保存凭据的情况下保留用户的登录信息,并且在应用程序上具有触摸ID,以防止不需要的用户拿起未锁定的电话并仅打开银行应用程序。
这就是我的理解方式,但是如果我错了,请有人纠正我。