首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

支付宝的指纹解锁成功后 向服务器发送带什么信息的请求?

  •  
  •   jinwyp · 2016-01-10 18:44:35 +08:00 · 2506 次点击
    这是一个创建于 1198 天前的主题,其中的信息可能已经有所发展或是发生改变。

    因为指纹是本地储存的, 正常如果是输入密码后肯定会把密码发给服务器做比对, 但如果是指纹解锁成功,不能把指纹发出去, 那服务器端怎么知道验证成功, 肯定要发带有密码类似的信息, 否则不是很容易模拟请求导致盗刷了?

    7 回复  |  直到 2016-01-10 20:51:37 +08:00
        1
    zhuziyi   2016-01-10 18:49:28 +08:00 via iPhone
    OAuth 协议
        2
    ffffwh   2016-01-10 19:04:00 +08:00 via iPad
    就本地验证吧。如果对你手机有物理接触的话,理论上都能破解。所以人家一度取消了,但你们又不高兴。

    真正的关键是手机要锁屏、不越狱 /root 、全盘加密。另外 sim 卡要上锁。
        3
    SourceMan   2016-01-10 19:20:26 +08:00 via iPhone
    支付宝请求系统进行指纹验证-用户输入指纹-系统向支付宝反馈指纹识别结果(布尔值)
        4
    yyfearth   2016-01-10 19:47:11 +08:00
    @SourceMan @jinwyp 应该不是这样 如果是布尔值 太容易伪造了
    根据我观察了好几个 Touch ID 的 app
    貌似都是这样:
    先要设置密码 password 或者数字密码 passcode 然后才可以选择 是否开启 Touch ID
    所以我觉得 应该是吧 password/passcode 放在了 keychain 里面

    对于 OAuth Token 这种 其实也可以这样:
    第一次验证成功后 把 token 存在 keychain 里面

    下次需要登录的时候
    只需要验证 Touch ID 指纹是否透过 通过了就把它从 keychain 里面拿出来用就可以了

    我没有记错的话 应该有 Touch ID 保护的 安全 keychain 这么个机制
        5
    Gymgle   2016-01-10 20:45:31 +08:00
    支付宝在几款手机(只在三星 S6 上测试过)上支持指纹支付,指纹支付使用的是 FIDO UAF 方案。
        6
    Gymgle   2016-01-10 20:48:38 +08:00   ♥ 2
    FIDO 原理是在本地生成一对非对称密钥对,公钥发给认证服务器。进行认证 /交易的时候本地的私钥对认证 /交易信息签名,签名信息发到认证服务器,服务器用公钥验证。指纹的用途是授权本地私钥的使用。
        7
    wy315700   2016-01-10 20:51:37 +08:00
    FIDO
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4038 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 21ms · UTC 03:54 · PVG 11:54 · LAX 20:54 · JFK 23:54
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1