App如何避免手动输入密码造成的安全风险？-爱代码爱编程

问题场景

某开发者开发了一款应用，为了方便用户使用，增强用户粘性，同时收集用户信息，在浏览器中添加了线上登录的功能。本以为增加了功能可以扩大用户访问量，增加下载量，可没想到，随着功能的推广，下载访问量不仅没有增加，反而出现了下滑的趋势，这是怎么回事呢？

问题原因

随着开发者进一步调查研究，查访用户，发现问题就出在添加的新功能上。什么意思呢？

原来这款应用的在线登录功能支持的是在线手动输入密码，密码是7位数，为了保障用户的信息安全，开发者特地设置了密码乱序。意味着，每当用户登录需要输入密码时，都要经历一次7个数字的查找输入过程，由于输入过程较为复杂，给用户登录体验造成了不良影响。另一方面，手动输入密码的过程中没有得到安全保障。用户输入密码的环境，如果是开放的，对用户隐私安全就造成了威胁。

种种原因，对于粘性不强的用户，在第一次使用应用时，如果出现这样的情况，在开放不够安全的场景中，很可能直接关闭应用，甚至激发厌烦情绪，将应用卸载。这就导致开发者“好心办了坏事”，无意中流失了许多用户。

那么，如何解决这样一个问题呢？

如何避免线上手动输入密码造成的风险？

要解决这个问题，其实是要解决如何进行安全便捷的线上快速身份认证的问题。那么如何进行呢？思路如下：

• 使用生物特征或外设完成身份认证，避免密码泄露的风险
• 生物特征等用户个人隐私只在本地验证，保障用户个人隐私不泄露
• 规范成熟、应用广泛、生态完善，易与现有帐号基础设施集成
• 提供FIDO2漫游认证器功能，支持在其他设备上使用FIDO时，把华为手机作为漫游认证器辅助完成认证

要实现这些目标，就要使用到FIDO（线上快速身份验证服务）。

使用这个服务，用户可在初次登录目标网站后，选择开通指纹/人脸登录，之后再通过浏览器App，登录同一个网站帐号时，只需要指纹/刷脸快速认证即可。由于华为FIDO是以系统完整性检测结果作为前置条件，可以帮助保护用户在更安全的设备环境中进行认证。

那么如何实现这一强大便捷又安全的功能呢？ 具体集成步骤如下：

1. 使用一个Activity实例初始化Fido2Client，可以写在Activity的onCreate方法中。

Fido2Client fido2Client = Fido2.getFido2Client(this);

2. 是从FIDO服务器获取一个挑战值以及注册或认证的策略。并且根据从FIDO服务器获取的这些信息，初始化一个认证或注册请求。

// Obtain the challenge value and related policy from the FIDO server, and initiate a Fido2RegistrationRequest
// request.
ServerPublicKeyCredentialCreationOptionsResponse response = fidoServer.getAttestationOptions(request);
if (!ServerStatus.OK.equals(response.getStatus())) {
    Log.e(TAG, getString(R.string.reg_fail) + response.getErrorMessage());
    showError(getString(R.string.reg_fail) + response.getErrorMessage());
}
PublicKeyCredentialCreationOptions publicKeyCredentialCreationOptions =
        ServerUtils.convert2PublicKeyCredentialCreationOptions(fido2Client,response);

3. 调用getRegistrationIntent或getAuthenticationIntent用来初始化认证或注册流程。

4. 在Fido2IntentCallback中调用launchFido2Activity，拉起注册或认证界面

fido2Client.getRegistrationIntent(registrationRequest, registrationOptions, new Fido2IntentCallback() {
    @Override
    public void onSuccess(Fido2Intent fido2Intent) {
        fido2Intent.launchFido2Activity(Fido2DemoMainActivity.this, Fido2Client.REGISTRATION_REQUEST);
    }
    @Override
    public void onFailure(int errorCode, CharSequence errString) {
        showError(getString(R.string.reg_fail) + errorCode + "=" + errString);
    }
});

5. 在activity.onActivityResult中调用getFido2RegistrationResponse或getFido2AuthenticationResponse获取FIDO2客户端的注册或认证的响应。

switch (requestCode) {
    // Receive the registration response.
    case Fido2Client.REGISTRATION_REQUEST:
        Fido2RegistrationResponse fido2RegistrationResponse = fido2Client.getFido2RegistrationResponse(data);
        reg2Server(fido2RegistrationResponse);
        break;
    // Receive the authentication response.
    case Fido2Client.AUTHENTICATION_REQUEST:
        Fido2AuthenticationResponse fido2AuthenticationResponse =
                fido2Client.getFido2AuthenticationResponse(data);
        auth2Server(fido2AuthenticationResponse);
        break;
    default:
        break;
}

>>访问华为线上快速身份验证服务官网，了解更多相关内容
>>获取华为线上快速身份验证服务开发指导文档
>>华为HMS Core官方论坛
>>华为线上快速身份验证服务开源仓库地址：GitHub、Gitee

点击右上角头像右方的关注，第一时间了解华为移动服务最新技术~