Witam.
Mam w planach wdrożyć w aplikacji na Androida logowanie za pomocą czytnika linii papilarnych, ale problem zaczyna się właśnie po stronie API. W związku z tym, że podczas przyłożenia palca do czytnika na urządzeniu dostaje tylko true (dobry palec) albo false (zły palec), to co w takim przypadku wysłać do API? Ogólnie domyślne "logowanie" jest na podstawie adresu email i hasła, ale "czytając palec" nie mam takich info. Ktoś już robił coś takiego?
A jakbyś dodał wiersz odcisk do tabeli gdzie masz użytkownika i trzymał tam wartość po logowaniu, czyli albo true albo false, czy też 1 lub 0, jeśli jeden dodaj do bazy i zaloguj dopóki nie wylogujesz się i wtedy zmienia to na zero. To tak czysto teoretycznie.
Wydaje mi się, że cokolwiek bym nie zrobił w bazie muszę w API udostępnić pobieranie tokena bez email i hasła i chyba to jest największy problem całego przedsięwzięcia. Mogę jeszcze ewentualnie wymagać podania adresu email, aby zapisać w ustawieniach i tylko hasło było by "na palec", ale dalszym ciągu kiepska weryfikacja przed nieproszonymi gośćmi...
W sumie to odcisk palca zastępuję hasło, także to co piszesz ma sens, to nie występuje obok hasła tylko zamiast.
No tak, ale odcisk palca mi hasła nie zwraca. Czyli nie zweryfikuje po stronie API, czy podane hasło pasuje do tego adresu email, ponieważ użytkownik go nie podaje. Jestem w stanie tylko zweryfikować, czy podany adres email istnieje w bazie, a dla mnie to jest "troszkę" mało bezpieczne.
Druga sprawa, mógłbym dołożyć jakąś dodatkową fazę do weryfikacji użytkownika np kod z wiadomości email, albo kod z SMS, o ile mam numer, ale dla mnie logowanie z użyciem odcisku palca ma być szybkie, a nie uciążliwe, ale również bezpieczne po stronie serwera.
PS.
Jak znajdzie się jakiś mądry i wyłapie, że do API może się autoryzować bez hasła to jestem w czarnej dupci...
Genialne! O to mi właśnie chodziło. Dzięki wielkie za pomoc ;-)