Best Practice für TouchID-Authentifizierung und Schlüsselbund

Question

Ich habe eine App mit Unterstützung für Mitgliederkonten mit normalen Benutzernamen und Passwort geschrieben.

Jetzt wollte ich TouchID für die Bequemlichkeit implementieren. Aber ich bin über den Zeitpunkt gestolpert, an dem mein Login-Token abläuft (mein Server gibt Nutzern nach längerem Login ein solches Token, bis dieses Token selbst abläuft): Um sich über TouchID anzumelden (ohne ihn einzutippen) seine Anmeldeinformationen einmal), muss ich diese Informationen auf dem Telefon speichern.

Sieht aus wie der Schlüsselbund ist die Technologie, die dafür verwendet wird. Bit dann habe ich mich gefragt: Wenn die Anmeldeinformationen in diesem Schlüsselbund liegen, wo ist der Zweck überhaupt ToichID zu verwenden? Warum nicht einfach die gespeicherten Zugangsdaten verwenden und eine stille Anmeldung im Hintergrund durchführen?

Vielen Dank im Voraus.

Answer 1

Apps verwenden normalerweise TouchID, um zu überprüfen, ob die Person, die die App startet, ein "Eigentümer" des Geräts ist, bevor sie Zugriff auf Informationen gewährt.

Zum Beispiel kann ich mein entsperrtes Telefon jemandem geben, damit sie anrufen können. Wenn sie meine Banking-App starten, können sie nicht auf meine Kontoinformationen zugreifen, ohne einen gültigen Fingerabdruck oder den Passcode anzugeben, obwohl die Geheimnisse, die die App benötigt, bereits im Schlüsselbund vorhanden sind.

Sie müssen die Empfindlichkeit der von Ihrer App bereitgestellten Informationen ermitteln und ermitteln, wie oft (falls überhaupt) der Benutzer eine TouchID-Berechtigung bereitstellen muss.