为您的应用配置通行密钥,支持更安全的身份验证

为您的应用配置通行密钥,支持更安全的身份验证

作者 / 开发者关系工程师 Amy Zeppenfeld

通行密钥 正在引领人们走向一个无需密码但却更安全的未来。通行密钥是一种新型的加密凭证,利用 FIDO2 和 WebAuthn 提供身份验证机制,可以防止网络钓鱼、用户友好、易于实现,而且比输入密码进行身份验证更安全。大多数主流操作系统和浏览器现在均提供全面的通行密钥支持。预计在不久的将来,通行密钥将会取代密码成为主要的验证机制,因此我们建议开发者立即开始实施支持通行密钥的身份验证解决方案。

如果您想要为 应用Web 服务 配置通行密钥,您可以先了解如何配置 通行密钥端点知名网址 (well-known URL)

这是一种标准化的方式,既能宣传支持使用通行密钥,又能优化用户体验。借助此知名网址 (well-known URL),密码管理器、通行密钥提供程序和其他安全工具等第三方服务可以引导用户在任何支持这些服务的网站上注册并管理他们的通行密钥。您可以将 应用链接或深层链接 与通行密钥端点知名网址 (well-known URL) 结合使用,从而让这些页面可以直接在您的应用中打开。

密码管理工具的使用率一直在稳步上升,我们预计大多数提供程序也将集成通行密钥管理。您可以提供通行密钥端点知名网址 (well-known URL),让第三方工具和服务将用户引导到您的专用通行密钥管理页面。

最棒的是,在多数情况下,只要两小时不到的时间您就能实现此功能!只需要在您的网站上托管一个简单的架构。您可以参阅以下示例:

  1. 对于 https://example.com 上的 Web 服务,知名网址 (well-known URL) 应为 https://example.com/.well-known/passkey-endpoints
  2. 查询 URL 时,响应架构应如下所示:
{
 "enroll": "https://example.com/account/manage/passkeys/create",
  "manage": "https://example.com/account/manage/passkeys"
}

注意 : 您可以根据您的网站自有的配置来决定 enroll 和 manage 这两个 URL 的确切值。

如果您有移动应用,我们强烈建议您使用 深层链接,让用户能够通过这些 URL 直接在您的应用中打开每个活动相应的画面,以 "注册" 或 "管理" 通行密钥。这样可以让您的用户保持专注并顺利注册通行密钥。

如果您想要了解更多详情和示例,您可以参阅 通行密钥端点知名网址 (well-known URL) 说明。欢迎您持续关注 "Android 开发者" 微信公众号,及时了解更多开发技术和产品更新等资讯动态。

版权声明

禁止一切形式的转载-禁止商用-禁止衍生 申请授权

脉脉不得语
脉脉不得语
Zhengzhou Website
Android Developer | https://androiddevtools.cn and https://androidweekly.io Funder | GDG Zhengzhou Funder & Ex Organizer | http://Toast.show(∞) Podcast Host

你已经成功订阅到 Android 开发技术周报
太棒了!接下来,完成检验以获得全部访问权限 Android 开发技术周报
欢迎回来!你已经成功登录了。
Unable to sign you in. Please try again.
成功!您的帐户已完全激活,您现在可以访问所有内容。
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.
🍗