作者 / 開發(fā)者關(guān)系工程師 Niharika Arora

X 是一款社交媒體應(yīng)用，涵蓋各類時事內(nèi)容，旨在幫助全球近 5 億用戶通過實時評述了解事件始末。最近，X 開發(fā)者改進(jìn)了 Android 應(yīng)用的登錄流程，以便用戶不會錯過他們感興趣的討論。通過使用 Credential Manager API，團(tuán)隊實施了新的通行密鑰身份驗證，以便用戶更快捷、更輕松、更安全地訪問應(yīng)用。

X

https://play.google.com/store/apps/details？id=com.twitter.android&hl=en_US

Credential Manager API

https://developer.android.google.cn/identity/sign-in/credential-manager

通行密鑰

https://developer.android.google.cn/design/ui/mobile/guides/patterns/passkeys

使用通行密鑰簡化登錄流程

如今，基于密碼的傳統(tǒng)身份驗證系統(tǒng)安全性較低，而且更容易受到網(wǎng)絡(luò)攻擊。許多用戶通常會選擇易于猜測的密碼，導(dǎo)致不法分子可以輕松暴力破解這些密碼。用戶還會在多個帳號中重復(fù)使用相同的密碼，這意味著如果一個密碼被黑客破解，所有帳號都會受到影響。

通行密鑰完全摒棄了密碼，解決了因弱密碼和網(wǎng)絡(luò)釣魚攻擊而日益增長的賬戶安全問題。該功能提供了更安全、更順暢的登錄體驗，讓用戶無需記住自己的用戶名或密碼。

“通行密鑰利用 PIN 碼或指紋、面部識別等生物識別數(shù)據(jù)取代密碼，是一種更簡單、更安全的登錄方式。” X 安全主管 Kylie McRoberts 表示。“我們探索了如何使用通行密鑰為用戶提供更輕松、更安全的登錄體驗，從而在幫助用戶保護(hù)帳號安全的同時，還省去了記住密碼的麻煩。”

自 X 團(tuán)隊實施通行密鑰以來，登錄時間大幅縮短，各項指標(biāo)也表明登錄流程有所改善。使用通行密鑰，應(yīng)用的登錄成功率比僅依靠密碼提高了一倍。團(tuán)隊還發(fā)現(xiàn)，啟用通行密鑰的用戶提出的密碼重置請求也有所減少。

據(jù) X 開發(fā)者表示，采用通行密鑰帶來的好處不止是提高安全性和簡化登錄體驗，還有降低成本和改善用戶體驗等。

Kylie 表示： “通行密鑰提供了強(qiáng)大的固有身份驗證能力，幫助我們降低了基于短信的雙重身份驗證相關(guān)成本。并且借助輕松登錄這一優(yōu)勢，用戶更愿意使用我們的平臺，因為這減少了記住或重置密碼的阻礙。”

通行密鑰依靠公鑰加密對用戶進(jìn)行身份驗證并為他們提供私鑰。這意味著網(wǎng)站和應(yīng)用可以查看和存儲公鑰，但不能獲取由用戶的憑證提供程序加密和存儲的私鑰。由于密鑰是唯一的，并且與網(wǎng)站或應(yīng)用相關(guān)聯(lián)，因此不易受網(wǎng)絡(luò)釣魚攻擊，從而進(jìn)一步增強(qiáng)了安全性。

使用 Credential Manager API

進(jìn)行無縫集成

為了集成通行密鑰，X 開發(fā)者使用了 Android 的 Credential Manager API，據(jù) Kylie 表示，這使得整個過程 “非常順暢”。該 API 將 Smart Lock、One Tap 和 Google Sign-In 整合為一個單一、簡化的工作流程。這也使開發(fā)者能夠刪除數(shù)百行代碼，從而提高實現(xiàn)效率并減少維護(hù)開銷。

最后，X 開發(fā)者遷移到 Credential Manager 僅用了兩周的時間，然后用了兩周時間完全支持通行密鑰。X 資深工程師 Saurabh Arora 表示，這是一次 “非常快速的遷移”，團(tuán)隊 “沒想到會如此簡單直接”。得益于 Credential Manager 使用簡單且基于協(xié)程的 API，處理多種身份驗證選項的復(fù)雜性基本上得以消除，代碼數(shù)量、出現(xiàn)錯誤的可能性以及整體的開發(fā)者工作量也得以減少。

X 開發(fā)者通過集成 Credential Manager API 顯著提升了開發(fā)效率。借助 Credential Manager API 轉(zhuǎn)向采用通行密鑰，他們實現(xiàn)了：

身份驗證模塊的代碼減少 80%

解決了 90% 的遺留邊緣案例錯誤

GIS、One Tap 和 Smart Lock 需要處理的代碼減少 85%

使用 Credential Manager API 的最佳方法 （如 createCredential 和 getCredential），通過消除與各個協(xié)議相關(guān)的自定義邏輯復(fù)雜性，簡化了集成過程。這種統(tǒng)一的方法還意味著 X 開發(fā)者可以使用單一且一致的接口來處理各種身份驗證類型，例如通行密鑰、密碼和聯(lián)合登錄 （如使用 Google 帳號登錄）。

“使用 Credential Manager 簡單的 API 方法，我們只需一次調(diào)用即可檢索通行密鑰、密碼和聯(lián)合令牌，從而減少分支邏輯并使響應(yīng)處理更清晰。” Saurabh 表示。“使用不同的 API 方法 （如 createCredential（） 和 getCredential（） 也簡化了憑據(jù)存儲，讓我們在同一位置即可處理密碼和通行密鑰。”

X 開發(fā)者在使用 Credential Manager API 實施 “通過 Google 帳號登錄” 方法時沒有遇到太多挑戰(zhàn)。用更簡單的 Credential Manager 實現(xiàn)取代 X 之前的 Google Sign In、One Tap 和 Smart Lock 代碼，意味著開發(fā)者不再需要處理連接或斷開狀態(tài)以及活動結(jié)果，從而降低了錯誤率。

通行密鑰的未來

X 集成通行密鑰的做法表明，實現(xiàn)更安全、更友好的身份驗證體驗是可行的。通過 Credential Manager API，X 開發(fā)者簡化了集成流程，減少了潛在的錯誤，并提高了安全性和開發(fā)速度，同時改善了用戶體驗。

“對于考慮集成通行密鑰的開發(fā)者，我們的建議是利用 Credential Manager API。” Saurabh 表示。“此 API 確實簡化了流程，并減少了您需要編寫和維護(hù)的代碼，讓開發(fā)者能夠更好實現(xiàn)功能。”

展望未來，X 計劃允許僅使用通行密鑰注冊并提供專用的通行密鑰管理界面，以進(jìn)一步提升用戶體驗。

開始使用

即刻了解如何使用通行密鑰和 Credential Manager API 提升應(yīng)用的用戶登錄體驗。

通行密鑰

https://developer.android.google.cn/design/ui/mobile/guides/patterns/passkeys

Credential Manager API

https://developer.android.google.cn/identity/sign-in/credential-manager