场景描述:

用户在金融类应用中查看银行卡号,这个时候需要核实用户的身份是否是本人。因此这个时候我们可以把银行卡号存入ASSET中,同时设置访问银行卡号需要进行身份验证。

用户想查看银行卡号,应用必须请求用户身份认证(人脸、指纹、锁屏密码),校验通过后才能访问,提升了用户的安全体验。

方案描述:

场景一:

存储的信息只有在指纹认证之后才能进行访问。

效果图:

方案:

preQuery参数列表

<p id="p15507523133614">属性名称(Tag)</p> <p id="p1850752363617">属性内容(Value)</p> <p id="p11507132363620">是否必选</p> <p id="p750772363616">说明</p>
<p id="p6507122320362">ALIAS</p> <p id="p195078233366">类型为Uint8Array,长度为1-256字节</p> <p id="p17507162393618">可选</p> <p id="p8507723103618">关键资产别名,每条关键资产的唯一索引;</p>
<p id="p1550712234361">ACCESSIBILITY</p> <p id="p135071823143618">类型为number,取值范围详见Accessibility</p> <p id="p15507523143616">可选</p> <p id="p15507172383617">基于锁屏状态的访问控制</p>
<p id="p950772316364">REQUIRE_PASSWORD_SET</p> <p id="p250762323618">类型为bool</p> <p id="p195071423153614">可选</p> <p id="p8507172303612">是否仅在设置了锁屏密码的情况下,可访问关键资产</p>
<p id="p20507523183619">AUTH_TYPE</p> <p id="p550714230366">类型为number,取值范围详见AuthType</p> <p id="p1507323143611">可选</p> <p id="p1350818238363">访问关键资产所需的用户认证类型</p>
<p id="p135081523103619">AUTH_VALIDITY_PERIOD</p> <p id="p18508162313612">类型为number,取值范围:1-600,单位为秒</p> <p id="p17508132313612">可选</p> <p id="p125081423133615">用户认证的有效期</p>
<p id="p3508142312366">SYNC_TYPE</p> <p id="p1950811237368">类型为number,取值范围详见SyncType</p> <p id="p1650815238365">可选</p> <p id="p11508172363613">关键资产支持的同步类型</p>
<p id="p11508122333613">IS_PERSISTENT</p> <p id="p1550811235366">类型为bool</p> <p id="p13508172353617">可选</p> <p id="p3508102314365">在应用卸载时是否需要保留关键资产</p>
<p id="p1350819239367">DATA_LABEL_CRITICAL_1</p> <p id="p55085234360">类型为Uint8Array,长度为1-512字节</p> <p id="p1650814235369">可选</p> <p id="p950852317362">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p2508182313360">DATA_LABEL_CRITICAL_2</p> <p id="p45081423163618">类型为Uint8Array,长度为1-512字节</p> <p id="p9508123113617">可选</p> <p id="p15080230366">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p155081523103614">DATA_LABEL_CRITICAL_3</p> <p id="p145081623123611">类型为Uint8Array,长度为1-512字节</p> <p id="p7508112318367">可选</p> <p id="p8508122383616">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p1750812363618">DATA_LABEL_CRITICAL_4</p> <p id="p165081023133617">类型为Uint8Array,长度为1-512字节</p> <p id="p550852353611">可选</p> <p id="p25081231365">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p950872312368">DATA_LABEL_NORMAL_1</p> <p id="p8508172353614">类型为Uint8Array,长度为1-512字节</p> <p id="p1550932311362">可选</p> <p id="p1650919235366">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p65098230365">DATA_LABEL_NORMAL_2</p> <p id="p20509162343620">类型为Uint8Array,长度为1-512字节</p> <p id="p1509182310366">可选</p> <p id="p6509112311366">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p115094238362">DATA_LABEL_NORMAL_3</p> <p id="p1950932317364">类型为Uint8Array,长度为1-512字节</p> <p id="p175091523203610">可选</p> <p id="p19509223133610">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p1650982333614">DATA_LABEL_NORMAL_4</p> <p id="p1450942383610">类型为Uint8Array,长度为1-512字节</p> <p id="p17509122311363">可选</p> <p id="p85091423183619">关键资产附属信息,内容由业务自定义且无完整性保护</p>

query参数列表

<p id="p155094230360">属性名称(Tag)</p> <p id="p1250962318363">属性内容(Value)</p> <p id="p1250911238366">是否必选</p> <p id="p95091723173620">说明</p>
<p id="p550942373620">ALIAS</p> <p id="p650962393613">类型为Uint8Array,长度为1-256字节</p> <p id="p3509123103613">必选</p> <p id="p1550919239360">关键资产别名,每条关键资产的唯一索引;</p>
<p id="p20509162319366">AUTH_CHALLENGE</p> <p id="p2509122313362">类型为Uint8Array,长度为32字节</p> <p id="p145096231367">必选</p> <p id="p16509162313368">用户认证的挑战值</p>
<p id="p15509723163619">AUTH_TOKEN</p> <p id="p12509122363614">类型为Uint8Array,长度为148字节</p> <p id="p35091823153617">必选</p> <p id="p135101023103610">用户认证通过的授权令牌</p>
<p id="p115102235368">RETURN_TYPE</p> <p id="p1451012313363">类型为number,asset.ReturnType.ALL</p> <p id="p11510102343617">必选</p> <p id="p15510323133618">关键资产查询返回的结果类型</p>
<p id="p155107231360">ACCESSIBILITY</p> <p id="p1351082310365">类型为number,取值范围详见Accessibility</p> <p id="p1051032313367">可选</p> <p id="p14510823193617">基于锁屏状态的访问控制</p>
<p id="p6510123143614">REQUIRE_PASSWORD_SET</p> <p id="p1551002363619">类型为bool</p> <p id="p55101923183615">可选</p> <p id="p35109237367">是否仅在设置了锁屏密码的情况下,可访问关键资产</p>
<p id="p14510123183615">AUTH_TYPE</p> <p id="p20510623123616">类型为number,取值范围详见AuthType</p> <p id="p14510823143610">可选</p> <p id="p451017235364">访问关键资产所需的用户认证类型</p>
<p id="p25103232365">SYNC_TYPE</p> <p id="p75101233363">类型为number,取值范围详见SyncType</p> <p id="p1251062314368">可选</p> <p id="p1451082320367">关键资产支持的同步类型</p>
<p id="p13510823103620">IS_PERSISTENT</p> <p id="p175100236365">类型为bool</p> <p id="p25106233368">可选</p> <p id="p751052333611">在应用卸载时是否需要保留关键资产</p>
<p id="p14510323103617">DATA_LABEL_CRITICAL_1</p> <p id="p9510122319367">类型为Uint8Array,长度为1-512字节</p> <p id="p1751002318362">可选</p> <p id="p351052373618">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p45103235366">DATA_LABEL_CRITICAL_2</p> <p id="p1651117235367">类型为Uint8Array,长度为1-512字节</p> <p id="p8511182312362">可选</p> <p id="p851142316362">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p12511192343611">DATA_LABEL_CRITICAL_3</p> <p id="p65111123123615">类型为Uint8Array,长度为1-512字节</p> <p id="p1451142319366">可选</p> <p id="p135113235368">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p651192373612">DATA_LABEL_CRITICAL_4</p> <p id="p8511323143620">类型为Uint8Array,长度为1-512字节</p> <p id="p1511182353616">可选</p> <p id="p11511162315360">关键资产附属信息,内容由业务自定义且有完整性保护</p>
<p id="p651120237366">DATA_LABEL_NORMAL_1</p> <p id="p05129235361">类型为Uint8Array,长度为1-512字节</p> <p id="p18512182343619">可选</p> <p id="p651212323613">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p1851262317364">DATA_LABEL_NORMAL_2</p> <p id="p1251211230364">类型为Uint8Array,长度为1-512字节</p> <p id="p12512623173614">可选</p> <p id="p1651212373614">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p1512162353611">DATA_LABEL_NORMAL_3</p> <p id="p951218231363">类型为Uint8Array,长度为1-512字节</p> <p id="p95121023113611">可选</p> <p id="p05121523143614">关键资产附属信息,内容由业务自定义且无完整性保护</p>
<p id="p3512923173614">DATA_LABEL_NORMAL_4</p> <p id="p7512623113616">类型为Uint8Array,长度为1-512字节</p> <p id="p8512122383618">可选</p> <p id="p185127239363">关键资产附属信息,内容由业务自定义且无完整性保护</p>

postQuery参数列表

<p id="p135121823193612">属性名称(Tag)</p> <p id="p451213238361">属性内容(Value)</p> <p id="p1651213231364">是否必选</p> <p id="p15123238360">说明</p>
<p id="p185121223163617">AUTH_CHALLENGE</p> <p id="p195120231365">类型为Uint8Array,长度为32字节</p> <p id="p6512122303613">必选</p> <p id="p17512123183616">用户认证的挑战值</p>

首先得确认手机是否设置了指纹,锁屏密码和人脸。否则会报12500010错误,表示还没有录入凭据(指纹,人脸,密码)

一、用户认证需要申请权限:ohos.permission.ACCESS\_BIOMETRIC。

二、保存:设置别名alias,资产secret,还有访问关键资产所需的用户认证类型。调用asset.addSync接口进行添加。

async function addAsset(account: string, password: string, label: string) {
  let attr: asset.AssetMap = new Map();
  attr.set(asset.Tag.ALIAS, stringToArray(account))//添加账号
  attr.set(asset.Tag.SECRET, stringToArray(password))//添加银行卡号
  attr.set(asset.Tag.DATA_LABEL_NORMAL_1, stringToArray(label))//添加标签
  attr.set(asset.Tag.AUTH_TYPE, asset.AuthType.ANY)//访问关键资产所需的用户认证类型。
  attr.set(asset.Tag.IS_PERSISTENT, true)//数据持久化
  try {
     asset.addSync(attr);
    log("保存成功")
  } catch (error)  {
    if (error.code === 24000003) {
      log('保存失败,账号已存在');
    } else {
      log('保存失败')
    }
  }
}

查询(用户认证):

首先我们会生成一个挑战值,传入之后拉起用户认证框同时生成令牌,将挑战值和令牌传入验证通过后查询出保存的数据。

核心代码:

1.调用preQuerySync设置用户认证类型会通过别名alias生成一个挑战值challenge,用于后续的用户认证;(这里的别名与保存的别名始终一致)

//1.获取挑战值
async function preQueryAssetPromise(CheckAccount: string): Promise<Uint8Array> {
  let assetMap: asset.AssetMap = new Map();
  assetMap.set(asset.Tag.AUTH_VALIDITY_PERIOD, 10 * 60)//用户认证的有效期。
  assetMap.set(asset.Tag.AUTH_TYPE, asset.AuthType.ANY)//访问关键资产所需的用户认证类型。
  if (CheckAccount.length > 0) {
    assetMap.set(asset.Tag.ALIAS, stringToArray(CheckAccount))
  }
  try {
    return  asset.preQuerySync(assetMap)
  } catch (error) {
    return new Uint8Array(0)
  }
}

2.传入挑战值challenge,拉起用户认证框,获取令牌authToken,进行用户认证;

//2.拉起用户认证框,获取authToken
async function getAuthToken(challenge: Uint8Array, callback: (isSuccess: boolean, challenge: Uint8Array) => void) {
  const authParam: userAuth.AuthParam = {
    challenge: challenge,
    authType: [userAuth.UserAuthType.PIN],//设置访问类型(指纹,锁屏密码,人脸)
    authTrustLevel: userAuth.AuthTrustLevel.ATL1,
  };
  const widgetParam: userAuth.WidgetParam = {
    title: '请输入锁屏密码',
  };
  try {
    //获取认证对象,拉起用户认证框
    let userAuthInstance = userAuth.getUserAuthInstance(authParam, widgetParam);
     // 订阅认证结果
    userAuthInstance.on('result', {
      onResult(result) {
        console.log('userAuthInstance callback result = ' + JSON.stringify(result));
        if (result.result == 12500000) {
          console.log('userAuthInstance callback result success');
          callback(true, result.token)
        } else if (result.result == 12500010) {
          prompt.showToast({ message: "请设置锁屏密码" })
          callback(false, new Uint8Array(0))
        }
      }
    });
    userAuthInstance.start();
  } catch (error) {
    console.log('auth catch error: ' + JSON.stringify(error));
    prompt.showToast({ message: "认证失败" })
    callback(false, new Uint8Array(0))
  }
}

3.用户认证通过后,传入挑战值challenge和授权令牌authToken还有别名alias,查询存入的数据;

//3.通过账号,挑战值,令牌去查询存储的数据
async function queryAuthAssetPromise(CheckAccount: string, challenge: Uint8Array, authToken: Uint8Array):Promise<Map<string, string>> {
  let accountList:Map<string,string>[]=new Array<Map<string, string>>();
  let attr: asset.AssetMap = new Map();
  let account: Map<string, string> = new Map<string, string>();
  if (CheckAccount.length > 0) {
    attr.set(asset.Tag.ALIAS, stringToArray(CheckAccount));
    attr.set(asset.Tag.RETURN_TYPE, asset.ReturnType.ALL);// 此处表示需要返回关键资产的所有信息,即属性+明文
    attr.set(asset.Tag.AUTH_CHALLENGE, challenge);//设置挑战值
    attr.set(asset.Tag.AUTH_TOKEN, authToken)//设置authToken
  }

  try {
    let data: Array<asset.AssetMap> =  asset.querySync(attr);//调用接口查询数据
    accountList= convertAssetList(data,accountList)
    return accountList[0]
  } catch (error) {
    if (error.code === 24000002) {
      log('未查询到结果');
    } else {
      log('查询失败');
    }
    return account
  }
}

4.最后调用postQuerySync清楚挑战值。(不清除后续多次调用会报错)

//4.清除挑战值
export async function postQueryAssetPromise(challenge: Uint8Array) {
  let attr: asset.AssetMap = new Map();
  attr.set(asset.Tag.AUTH_CHALLENGE, challenge);
  try {
     asset.postQuerySync(attr);
  } catch (error) {
  }
}

注意:

asset.preQuerySync是查询的预处理,用于需要用户认证的关键资产。这个主要是去获取challenge,在用户认证成功后,应当随后调用asset.querySyncasset.postQuerySync

asset.postQuerySync是查询的后置处理,用于需要用户认证的关键资产。需与asset.preQuerySync函数成对出现。

参考链接:

查询需要用户认证的关键资产(ArkTS)


HarmonyOS码上奇行
4.3k 声望2.1k 粉丝