FIDO2 API を使用すると、Android アプリは、認証済みの強力な公開鍵ベースの認証情報を作成して、ユーザーの認証に使用できます。この API は、BLE、NFC、USB ローミング認証システム(セキュリティ キー)とプラットフォーム認証システムの使用をサポートする WebAuthn Client の実装を提供します。ユーザーが指紋または画面ロックを使用して認証を行う。
統合
FIDO2 API エントリ ポイントは Fido2ApiClient です。
この API は次の 2 つのオペレーションをサポートします。
登録と署名の両方でユーザー操作が必要になります。
API の使用方法を示すサンプル アプリは、https://github.com/android/security-samples/tree/master/Fido にあります。
ウェブサイトとの相互運用
ユーザーがウェブサイトと Android アプリで認証情報をシームレスに共有できるようにすることは簡単です。そのためには、デジタル アセット リンクを使用します。ウェブサイトでデジタル アセット リンクの JSON ファイルをホストし、アプリのマニフェストにデジタル アセット リンク ファイルへのリンクを追加して、関連付けを宣言できます。
たとえば、https://example.com
を Android アプリ com.example.android
に関連付ける場合、必要な 3 つのステップがあります。
ステップ 1. ドメインで assetlinks.json
をホストする
このような JSON ファイルを作成し、https://example.com/.well-known/assetlinks.json
でホストします。
[
{
"relation" : [
"delegate_permission/common.handle_all_urls",
"delegate_permission/common.get_login_creds"
],
"target" : {
"namespace" : "web",
"site" : "https://example.com"
}
},
{
"relation" : [
"delegate_permission/common.handle_all_urls",
"delegate_permission/common.get_login_creds"
],
"target" : {
"namespace" : "android_app",
"package_name" : "com.example.android",
"sha256_cert_fingerprints" : [
"DE:AD:BE:EF"
]
}
}
]
Google からクロールできること、HTTP ヘッダー Content-Type: application/json
で配信されていることを確認します。
sha256_cert_fingerprints
は、アプリの署名証明書の SHA256 フィンガープリントです。詳しくは、Android アプリリンクのドキュメントをご覧ください。
ステップ 2: Android アプリで assetlinks.json
にリンク
Android アプリで、<application>
の下にあるマニフェスト ファイルに次の行を追加します。
<meta-data android:name="asset_statements" android:resource="@string/asset_statements" />
ステップ 3: asset_statements
文字列リソースを strings.xml ファイルに追加する
asset_statements
文字列は、読み込む assetlinks.json
ファイルを指定する JSON オブジェクトです。文字列で使用するアポストロフィや引用符はエスケープする必要があります。例:
<string name="asset_statements" translatable="false">
[{
\"include\": \"https://example.com/.well-known/assetlinks.json\"
}]
</string>
アプリとウェブサイトの関連付けについて詳しくは、SmartLock for Passwords on Android のドキュメントをご覧ください。