TouchID認證和鑰匙扣的最佳實踐

Question

我已經編寫了一個應用程序，支持使用普通用戶名和密碼的成員帳戶。

現在我想實現TouchID以方便使用。但是我偶然發現登錄令牌過期的地方（我的服務器爲用戶提供了一個令牌，在成功登錄後使用一段時間，直到此令牌本身到期）：爲了通過TouchID登錄到iser（無需他輸入他的憑據一旦agaim），我需要在手機上存儲該信息。

看起來像鑰匙扣是技術使用的。然後我問自己：如果憑證在這個鑰匙串中，那麼使用ToichID的目的在哪裏？爲什麼不使用存儲的憑證並在後臺執行無提示登錄？

在此先感謝。

Answer 1

應用程序通常使用TouchID來驗證在提供信息訪問權之前啓動應用程序的人是設備「所有者」。

例如，我可能會將我的解鎖手機給予某人，以便他們撥打電話。如果他們啓動我的銀行應用程序，即使應用程序需要的祕密在鑰匙串中，但他們也無法訪問我的帳戶信息，而無法提供有效的指紋或密碼。

您需要評估應用程序提供的信息的敏感性，並確定您需要用戶提供TouchID憑據的頻率（如果有的話）。