我正在寻找信息,如果 android 身份验证结果(指纹匹配成功或失败)被验证为真正来自安全区域和指纹守护程序,当它被回调到用户域时。 (安卓)
这里的文档:https://source.android.com/security/authentication,它描述了身份验证流程并分为 4 个步骤。 AuthToken 在流程中被提及:
“密钥库服务将 AuthTokens 传递给 Keymaster,并使用与 Gatekeeper 共享的密钥和支持的生物识别 TEE 组件来验证它们。Keymaster 信任令牌中的时间戳作为最后一次身份验证时间,并根据密钥发布决定(允许应用在时间戳上使用密钥)(身份验证流程的第 4 步)"
正如它所提到的,AuthToken 应该在密钥库中进行验证。
但是当我查看 android 源代码时,确实将 AuthToken 添加到 AuthenticationClient.onAuthenticated 中的密钥库中,但没有明确执行进一步的验证。
那么AuthToken究竟是如何被验证或用来证明匹配结果的真实性的呢?
总而言之,我的问题如下:
有人可以分享有关它的任何见解吗?
谢谢