问题描述
我们有一个基于微服务的系统,当前用户已通过keycloack(jwt)进行了身份验证,我们需要在此现有系统中添加生物识别信息登录。 首先,我们设计了如下的生物特征认证流程:
- 在客户端(移动应用程序)上生成非对称密钥对。
- 与后端服务器共享公共密钥。
- 在后端服务器上使用公钥对身份验证令牌(由keykoack生成的jwt访问令牌,最初由密码登录生成)进行加密。
- 将加密的令牌共享到移动应用,并将其保存在本地设备上。
- 使用生物识别API来访问私钥。
- 解密加密的令牌并将其用于进一步的身份验证。
但是我遇到问题的是什么时候该做什么:
- 访问令牌过期?
- 即使超过了令牌的使用寿命,如果必须在途中更新令牌策略,该怎么办?
我的问题是:
- 此流程正确且有意义吗? (引用自reference thread的流)
- 在与上述类似的情况下,进行生物识别认证的最佳实践是什么?或者流行的应用如何实施任何参考的生物识别?
自上周以来,我一直在尝试解决此问题,但没有运气。我非常感谢您的建议,技巧和帮助。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)