51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
活动 短视频 专栏 极客Show 鸿蒙技术特刊

基于Asset下的高安全级别数据存储

HarmonyOS官方账号
发布于 2024-9-29 10:02
浏览
0收藏

​场景描述:

用户在金融类应用中查看银行卡号,这个时候需要核实用户的身份是否是本人。因此这个时候我们可以把银行卡号存入ASSET中,同时设置访问银行卡号需要进行身份验证。

用户想查看银行卡号,应用必须请求用户身份认证(人脸、指纹、锁屏密码),校验通过后才能访问,提升了用户的安全体验。

方案描述:

场景一:

存储的信息只有在指纹认证之后才能进行访问。

效果图:

基于Asset下的高安全级别数据存储-鸿蒙开发者社区

方案:

preQuery参数列表​:

属性名称(Tag)

属性内容(Value)

是否必选

说明

ALIAS

类型为Uint8Array,长度为1-256字节

可选

关键资产别名,每条关键资产的唯一索引;

ACCESSIBILITY

类型为number,取值范围详见Accessibility

可选

基于锁屏状态的访问控制

REQUIRE_PASSWORD_SET

类型为bool

可选

是否仅在设置了锁屏密码的情况下,可访问关键资产

AUTH_TYPE

类型为number,取值范围详见AuthType

可选

访问关键资产所需的用户认证类型

AUTH_VALIDITY_PERIOD

类型为number,取值范围:1-600,单位为秒

可选

用户认证的有效期

SYNC_TYPE

类型为number,取值范围详见SyncType

可选

关键资产支持的同步类型

IS_PERSISTENT

类型为bool

可选

在应用卸载时是否需要保留关键资产

DATA_LABEL_CRITICAL_1

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_2

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_3

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_4

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_NORMAL_1

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_2

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_3

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_4

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

query参数列表:

属性名称(Tag)

属性内容(Value)

是否必选

说明

ALIAS

类型为Uint8Array,长度为1-256字节

必选

关键资产别名,每条关键资产的唯一索引;

AUTH_CHALLENGE

类型为Uint8Array,长度为32字节

必选

用户认证的挑战值

AUTH_TOKEN

类型为Uint8Array,长度为148字节

必选

用户认证通过的授权令牌

RETURN_TYPE

类型为number,asset.ReturnType.ALL

必选

关键资产查询返回的结果类型

ACCESSIBILITY

类型为number,取值范围详见Accessibility

可选

基于锁屏状态的访问控制

REQUIRE_PASSWORD_SET

类型为bool

可选

是否仅在设置了锁屏密码的情况下,可访问关键资产

AUTH_TYPE

类型为number,取值范围详见AuthType

可选

访问关键资产所需的用户认证类型

SYNC_TYPE

类型为number,取值范围详见SyncType

可选

关键资产支持的同步类型

IS_PERSISTENT

类型为bool

可选

在应用卸载时是否需要保留关键资产

DATA_LABEL_CRITICAL_1

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_2

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_3

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_CRITICAL_4

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且有完整性保护

DATA_LABEL_NORMAL_1

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_2

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_3

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

DATA_LABEL_NORMAL_4

类型为Uint8Array,长度为1-512字节

可选

关键资产附属信息,内容由业务自定义且无完整性保护

postQuery参数列表:

属性名称(Tag)

属性内容(Value)

是否必选

说明

AUTH_CHALLENGE

类型为Uint8Array,长度为32字节

必选

用户认证的挑战值

​首先得确认手机是否设置了指纹,锁屏密码和人脸。否则会报12500010错误,表示还没有录入凭据(指纹,人脸,密码)。

一、用户认证需要申请权限:ohos.permission.ACCESS_BIOMETRIC。​

基于Asset下的高安全级别数据存储-鸿蒙开发者社区

​二、保存:设置别名alias,资产secret,还有访问关键资产所需的用户认证类型。调用asset.addSync接口进行添加。

async function addAsset(account: string, password: string, label: string) { 
  let attr: asset.AssetMap = new Map(); 
  attr.set(asset.Tag.ALIAS, stringToArray(account))//添加账号 
  attr.set(asset.Tag.SECRET, stringToArray(password))//添加银行卡号 
  attr.set(asset.Tag.DATA_LABEL_NORMAL_1, stringToArray(label))//添加标签 
  attr.set(asset.Tag.AUTH_TYPE, asset.AuthType.ANY)//访问关键资产所需的用户认证类型。 
  attr.set(asset.Tag.IS_PERSISTENT, true)//数据持久化 
  try { 
     asset.addSync(attr); 
    log("保存成功") 
  } catch (error)  { 
    if (error.code === 24000003) { 
      log('保存失败,账号已存在'); 
    } else { 
      log('保存失败') 
    } 
  } 
}

查询(用户认证):

首先我们会生成一个挑战值,传入之后拉起用户认证框同时生成令牌,将挑战值和令牌传入验证通过后查询出保存的数据。

核心代码:

1.调用preQuerySync设置用户认证类型会通过别名alias生成一个挑战值challenge,用于后续的用户认证;(这里的别名与保存的别名始终一致)

//1.获取挑战值 
async function preQueryAssetPromise(CheckAccount: string): Promise<Uint8Array> { 
  let assetMap: asset.AssetMap = new Map(); 
  assetMap.set(asset.Tag.AUTH_VALIDITY_PERIOD, 10 * 60)//用户认证的有效期。 
  assetMap.set(asset.Tag.AUTH_TYPE, asset.AuthType.ANY)//访问关键资产所需的用户认证类型。 
  if (CheckAccount.length > 0) { 
    assetMap.set(asset.Tag.ALIAS, stringToArray(CheckAccount)) 
  } 
  try { 
    return  asset.preQuerySync(assetMap) 
  } catch (error) { 
    return new Uint8Array(0) 
  } 
}

2.传入挑战值challenge,拉起用户认证框,获取令牌authToken,进行用户认证;

//2.拉起用户认证框,获取authToken 
async function getAuthToken(challenge: Uint8Array, callback: (isSuccess: boolean, challenge: Uint8Array) => void) { 
  const authParam: userAuth.AuthParam = { 
    challenge: challenge, 
    authType: [userAuth.UserAuthType.PIN],//设置访问类型(指纹,锁屏密码,人脸) 
    authTrustLevel: userAuth.AuthTrustLevel.ATL1, 
  }; 
  const widgetParam: userAuth.WidgetParam = { 
    title: '请输入锁屏密码', 
  }; 
  try { 
    //获取认证对象,拉起用户认证框 
    let userAuthInstance = userAuth.getUserAuthInstance(authParam, widgetParam); 
     // 订阅认证结果 
    userAuthInstance.on('result', { 
      onResult(result) { 
        console.log('userAuthInstance callback result = ' + JSON.stringify(result)); 
        if (result.result == 12500000) { 
          console.log('userAuthInstance callback result success'); 
          callback(true, result.token) 
        } else if (result.result == 12500010) { 
          prompt.showToast({ message: "请设置锁屏密码" }) 
          callback(false, new Uint8Array(0)) 
        } 
      } 
    }); 
    userAuthInstance.start(); 
  } catch (error) { 
    console.log('auth catch error: ' + JSON.stringify(error)); 
    prompt.showToast({ message: "认证失败" }) 
    callback(false, new Uint8Array(0)) 
  } 
}

3.用户认证通过后,传入挑战值challenge和授权令牌authToken还有别名alias,查询存入的数据;

//3.通过账号,挑战值,令牌去查询存储的数据 
async function queryAuthAssetPromise(CheckAccount: string, challenge: Uint8Array, authToken: Uint8Array):Promise<Map<string, string>> { 
  let accountList:Map<string,string>[]=new Array<Map<string, string>>(); 
  let attr: asset.AssetMap = new Map(); 
  let account: Map<string, string> = new Map<string, string>(); 
  if (CheckAccount.length > 0) { 
    attr.set(asset.Tag.ALIAS, stringToArray(CheckAccount)); 
    attr.set(asset.Tag.RETURN_TYPE, asset.ReturnType.ALL);// 此处表示需要返回关键资产的所有信息,即属性+明文 
    attr.set(asset.Tag.AUTH_CHALLENGE, challenge);//设置挑战值 
    attr.set(asset.Tag.AUTH_TOKEN, authToken)//设置authToken 
  } 
 
  try { 
    let data: Array<asset.AssetMap> =  asset.querySync(attr);//调用接口查询数据 
    accountList= convertAssetList(data,accountList) 
    return accountList[0] 
  } catch (error) { 
    if (error.code === 24000002) { 
      log('未查询到结果'); 
    } else { 
      log('查询失败'); 
    } 
    return account 
  } 
}

4.最后调用postQuerySync清楚挑战值。(不清除后续多次调用会报错)

//4.清除挑战值 
export async function postQueryAssetPromise(challenge: Uint8Array) { 
  let attr: asset.AssetMap = new Map(); 
  attr.set(asset.Tag.AUTH_CHALLENGE, challenge); 
  try { 
     asset.postQuerySync(attr); 
  } catch (error) { 
  } 
}

注意:

asset.preQuerySync是查询的预处理,用于需要用户认证的关键资产。这个主要是去获取challenge,在用户认证成功后,应当随后调用​asset.querySyncasset.postQuerySync

asset.postQuerySync是查询的后置处理,用于需要用户认证的关键资产。需与​asset.preQuerySync​​函数成对出现。

参考链接:​

查询需要用户认证的关键资产(ArkTS)


分类
ArkUI / eTS
标签
ArkTS
数据存储
Asset
收藏
回复
举报
回复
    相关推荐
    HarmonyOS官方账号
    这个用户很懒,还没有个人简介
    帖子
    视频
    声望
    粉丝
    最近发布
    热门推荐
    鸿蒙开发黑科技:前端页面轻松调用 ArkTS 函数 3回复
    基于STM32单片机设计的矿山环境作业安全监测系统 2回复
    「Mac畅玩鸿蒙与硬件2」鸿蒙开发环境配置篇2 - 在 Mac 上安装 DevEco Studio 3回复
    ArkTS 应用的代码混淆策略:提升安全性与性能 3回复
    基于STM32+微波雷达设计的非接触式睡眠监控系统 2回复
    相关问题
    asset的安全存储空间,是系统级别的吗? 1回答
    HarmonyOS L1-L4数据存储的安全级别建议或规范 1回答
    #鸿蒙学习大百科#如何设置关系型数据库的安全级别? 0回答
    #鸿蒙学习大百科#如何设置键值型数据库的安全级别? 2回答
    Asset Store存储失败,怎么解决? 1回答
    社区精华内容

    目录