Заранее извиняюсь, если эта тема не подходит для Stackoverflow (прошу модераторов перенести туда, где это уместно). Спасибо.
Мне было интересно, как приложения используют Touch ID или Face ID для проверки личности без сохранения биометрических данных на своих серверах.
Аутентификация без Touch / Face ID (здесь упрощенно)
- Пользователь входит в свое банковское приложение.
- Имя пользователя и пароль отправляются на сервер для проверки.
- Имя пользователя и пароль проверяются на соответствие информации, хранящейся на сервере банка.
- При действительной комбинации имени пользователя и пароля выдается токен, который будет использоваться в текущем сеансе.
После того, как пользователь разрешит приложению использовать Touch / Face ID ...
Аутентификация с помощью Touch / Face ID
- Пользователь входит в свое банковское приложение.
- Они подтверждают свой Touch / Face ID
... Что здесь происходит? Что отправляется на сервер для проверки?
Я читал, что биометрические данные хранятся в защищенном чипе телефона и не хранятся ни на одном сервере.
Для iOS, помимо пакета Touch / Face ID, нам еще нужно поработать с доступом к связке ключей. Почему? Что здесь хранится?
Спасибо.