上一篇
安卓应用无证书认证
基于Token的无证书认证方案
JWT(JSON Web Token)
原理:
服务器生成包含用户信息的JWT,客户端存储该Token并在请求时携带,服务器通过解密或签名验证合法性。
实现步骤:
| 步骤 | 操作 | 说明 |
|——|——|——|
| 1 | 用户登录 | 客户端发送账号密码至服务器 |
| 2 | 生成JWT | 服务器验证后生成JWT(含用户ID、过期时间等),返回给客户端 |
| 3 | 存储Token | 客户端将JWT存入SharedPreferences或加密存储 |
| 4 | 请求验证 | 客户端在请求头中携带JWT,服务器验证签名和有效性 |
优点:
- 无证书依赖,轻量级
- 可跨平台使用
缺点:
- Token泄露风险(需配合HTTPS)
- 服务器需维护密钥用于签名
OAuth 2.0 + 自定义Token
适用场景:第三方授权登录(如微信、Google登录)。
关键点:
- 通过OAuth 2.0获取Access Token
- 结合自定义Refresh Token实现长期认证
基于设备标识的认证方案
Android ID + HMAC签名
原理:
利用设备唯一的Android ID,结合服务器秘钥生成HMAC签名,作为认证凭证。
实现步骤:
- 客户端获取
Settings.Secure.ANDROID_ID - 将Android ID发送至服务器
- 服务器用预共享秘钥生成HMAC并返回
- 客户端存储HMAC,后续请求携带Android ID+HMAC
优点:
- 无需证书,依赖设备唯一性
缺点:
- Android ID可能被重置(如恢复出厂设置)
- 需保护秘钥不被泄露
设备指纹(如Firebase)
原理:通过第三方服务生成设备唯一标识,服务器记录该标识用于认证。
示例(Firebase):
// 初始化Firebase Analytics FirebaseAnalytics analytics = Firebase.getInstance(this).getAnalytics(); String deviceId = Settings.Secure.getString(getContentResolver(), "android_id");
本地生物识别认证
指纹/面部识别
适用场景:本地敏感操作(如支付、加密数据解锁)。
实现流程:
- 调用Android
BiometricPromptAPI - 将生物识别结果与本地存储的密钥绑定
- 通过密钥解密数据或执行敏感操作
优点:
- 无需网络请求,完全本地化
- 符合用户习惯(如支付场景)
安全性增强措施
| 方案 | 风险 | 对策 |
|---|---|---|
| Token存储 | 被逆向破解 | 使用Android Keystore加密存储 |
| HMAC签名 | 秘钥泄露 | 定期更换秘钥,限制秘钥权限 |
| 设备指纹 | 伪造ID | 结合多个参数(如IP、时间戳)生成动态Token |
常见问题与解答
问题1:无证书认证如何防止中间人攻击?
解答:
- 强制HTTPS:所有通信必须通过HTTPS,依赖系统根证书验证链路安全。
- Token时效性:设置短有效期(如15分钟),降低被劫持风险。
- 签名验证:JWT或HMAC需服务器端验证签名,防止改动。
问题2:无证书认证是否违反合规要求?
解答:
- GDPR/CCPA:需确保设备指纹采集经用户同意,并提供删除机制。
- 金融级应用:部分场景仍需证书(如银联要求),需结合业务
