Unified Identity Management logo figure Unified Identity Management logo figure

Аутентификация в мобильном приложении по ПИН-коду или биометрическим данным

Примечание
Это не законченная статья

Описание

UIDM позволяет реализовать в мобильном приложении сценарии входа по ПИН-коду и/или биометрическим данным, используя механизм долгоживущих идентификационных токенов.

Примечание
описанная в данном разделе функциональность аутентификации по биометрии предполагает использование биометрических средств мобильных устройств, на которых работает мобильное приложение. Мобильное приложение так же не является частью UIDM. В UIDM есть другие механизмы для работы с биометрическими данными, обратитесь в RooX для получения дополнительной информации.

Устройство

Аутентификация пользователя по ПИН-коду или биометрии реализуется по следующему сценарию:

Примечание
реализация сценария на стороне мобильного приложения может отличаться и остается на усмотрение разработчиков мобильного приложения.
  1. Пользователь первый раз запускает мобильное приложение. Приложение запрашивает логин и пароль, пользователь их вводит, приложение отправляет данные на UIDM

  2. UIDM, если логин-пароль верные, выдает токен доступа приложению, а также дополнительно долгоживущий идентификационный токен ("JWT токен"). JWT токен НЕ сохраняется на стороне UIDM, он представляет собой зашифрованную строку в формате JSON, внутри которой, среди прочего хранятся идентификатор (principalId пользователя) и время жизни токена.

  3. Мобильное приложение запрашивает у пользователя ПИН и/или биометрические данные, использует их для шифрования полученного JWT-токена и сохраняет результат в хранилище на мобильном устройстве.

  4. Когда пользователь в следующий раз выполняет попытку входа по ПИН-коду или биометрии, мобильное приложение загружает токен из хранилища и расшифровывает его с использованием введенного ПИН или биометрических данных.

  5. Мобильное Приложение отправляет на UIDM запрос на аутентификацию, передавая JWT-токен.

  6. UIDM расшифровывает JWT-токен, проверяет, не истек ли срок его действия, находит в БД учетную запись пользователя по principalID пользователя и аутентифицирует его.

  7. UIDM возвращает успешный ответ в Мобильное приложение. Если на предыдущем шаге произошла ошибка (например, токен более недействителен), то UIDM передает в мобильное приложение о другом доступном способе входа для продолжения сценария (например, запрашивает ввод логина и пароля)

Как использовать

Компоненты, необходимые для работы

Является частью стандартной функциональности UIDM, не требует установки дополнительных компонент

Включение функциональности

Функциональность не требует специального включения, но в sso-server должны быть настроены ключи для шифрования токенов.