R
Узнает в следующей
Size: a a a
2019 November 19
NK
Не столь странно как о биометрии 😉
есть такое, но просто я не понимаю зачем беку знать о пине, но не знать о биометрии если это по сути равносильные вещи) ну ок
NK
Узнает в следующей
а там уже поздно будет для меня ахах)
R
Это не равносильные вещи. Почитай статью =)
R
а там уже поздно будет для меня ахах)
Ну сорян =) Я не на зарплате для вас тут работаю 😄
2019 November 20
A
Кто там хотел статью?
https://habr.com/en/company/redmadrobot/blog/475112/
https://habr.com/en/company/redmadrobot/blog/475112/
Небольшой вопрос по статье.
Хеш хранится в префах, почему бы не хранить его в keystor'e?
Хеш хранится в префах, почему бы не хранить его в keystor'e?
R
Небольшой вопрос по статье.
Хеш хранится в префах, почему бы не хранить его в keystor'e?
Хеш хранится в префах, почему бы не хранить его в keystor'e?
Потому что это не iOS и у нас механика работы кейстора не позволяет это делать.
СП
Небольшой вопрос по статье.
Хеш хранится в префах, почему бы не хранить его в keystor'e?
Хеш хранится в префах, почему бы не хранить его в keystor'e?
Мнэ...кейстор джавы/андроида позволяет хранить, насколько я помню, исключительно поддерживаемые им ключи и ключевые пары, внутри него и сгенерированные.
То есть запихнуть внутрь некое число/текст извне если и можно, то под видом пароля, сертификата или как их алиас. Хотя может какой извращенный способ и есть.
А. Можно перед выкладкой в префы пожать хеш клбчом из кейстора. Или использовать любую либу шифрования префов.
То есть запихнуть внутрь некое число/текст извне если и можно, то под видом пароля, сертификата или как их алиас. Хотя может какой извращенный способ и есть.
А. Можно перед выкладкой в префы пожать хеш клбчом из кейстора. Или использовать любую либу шифрования префов.
A
Спасибо!
Понял
Понял
V
Кто там хотел статью?
https://habr.com/en/company/redmadrobot/blog/475112/
https://habr.com/en/company/redmadrobot/blog/475112/
Спасибо за статью. Такой вопрос по поводу смены пинкода:
Выходит так, что смена пинкода возможно без повторного запроса к серверу для получения нового access_token’a ?
Выходит так, что смена пинкода возможно без повторного запроса к серверу для получения нового access_token’a ?
R
Ну да. Тебе нужно будет перешифровать старый если он не протух
V
т.е. я с помощью старого пинкода я прохожу воркфлоу pin authenication, потом с расшифрованым токеном прохожу заново воркфлоу создания пина
R
У тебя будет один флоу по пересозданию пина. Ты просишь юзера старый пин, расшифровываешь все и приходишь к сценарию создания пина (который описан)
R
Смена пина это по сути комбинация сценариев которые уже показаны
V
Смена пина это по сути комбинация сценариев которые уже показаны
А как быть если к пинкоду добавляется связка public/private key ? Я генерирую пару, отдаю паблик ключ серверу и храню у себя приватный и публичный зашифрованный как описано в статье?
V
Потом делаю запрос на сервер /getChallenge, получаю челендж, с помощью пинкода расшифровываю приватный ключ, подписываю им челендж и отправляю на сервер?
R
Вопрос не очень понятен. Я не знаю чем четеб связка public/private key =)
R
Ну так у тебя схема завязанная на сервер, а я показал локальную
V
Ну так у тебя схема завязанная на сервер, а я показал локальную
У нас идея такая:
1. в приложении генерится пара приватный-публичный ключ
2. публичный ключ отправляется на сервер
3. приватный ключ сохраняется в зашифрованом виде локально с помощью пинкода/биометрии
4. когда нужно сервер присылает челендж, который мы подписываем с помощью расшифрованного приватного ключа
5. когда юзер хочет поменять пинкод, пара ключей не меняется, меняется только зашифрованный вид приватного ключа (незнаю как правильно назвать)
1. в приложении генерится пара приватный-публичный ключ
2. публичный ключ отправляется на сервер
3. приватный ключ сохраняется в зашифрованом виде локально с помощью пинкода/биометрии
4. когда нужно сервер присылает челендж, который мы подписываем с помощью расшифрованного приватного ключа
5. когда юзер хочет поменять пинкод, пара ключей не меняется, меняется только зашифрованный вид приватного ключа (незнаю как правильно назвать)
R
А зачем это все?