Android のローカル認証

概要

ローカル認証では、アプリはデバイス上でローカルに保存されたクレデンシャルに対してユーザーを認証します。言い換えると、ユーザーはローカルデータを参照することにより検証される PIN、パスワード、または顔や指紋などの生体特性を提供することで、アプリや機能の何かしらの内部層を「アンロック」します。一般的に、これはユーザーがより便利にリモートサービスでの既存のセッションを再開するため、またはある重要な機能を保護するためのステップアップ認証の手段として行われます。

"モバイルアプリの認証アーキテクチャ" の章で前述しているように、テスト担当者はローカル認証が常にリモートエンドポイントで実行されることや暗号プリミティブに基づいている必要があることに注意します。認証プロセスからデータが返らない場合、攻撃者は簡単にローカル認証をバイパスできます。

Android では、ローカル認証のために Android Runtime でサポートされている二つのメカニズムがあります。クレデンシャル確認フローと生体認証フローです。