Сохранение данных в Keychain доступно только с Touch ID в Swift 3

Я работаю над кодом, который должен сделать следующее:

  • Сохраните некоторые данные в цепочке ключей.
  • Получить данные только в том случае, если пользователь аутентифицируется с помощью Touch ID или Pass Code.

Я просмотрел презентацию Keychain and Authentication with Touch ID и понял следующее:

Если вы установите правильный параметр при добавлении нового значения в Keychain, в следующий раз вы попытаетесь выяснить это, система автоматически покажет Всплывающее окно с сенсорным идентификатором.

Я написал код, и мое предположение не работает. Вот что я написал:

    //
    //  Secret value to store
    //
    let valueData = "The Top Secret Message V1".data(using: .utf8)!;

    //
    //  Create the Access Controll object telling how the new value
    //  should be stored. Force Touch ID by the system on Read.
    //
    let sacObject =
        SecAccessControlCreateWithFlags(kCFAllocatorDefault,
                            kSecAttrAccessibleWhenPasscodeSetThisDeviceOnly,
                            .userPresence,
                            nil);

    //
    //  Create the Key Value array, that holds the query to store 
    //  our data
    //
    let insert_query: NSDictionary = [
        kSecClass: kSecClassGenericPassword,
        kSecAttrAccessControl: sacObject!,
        kSecValueData: valueData,
        kSecUseAuthenticationUI: kSecUseAuthenticationUIAllow,
        //  This two valuse ideifieis the entry, together they become the
        //  primary key in the Database
        kSecAttrService: "app_name",
        kSecAttrAccount: "first_name"
    ];

    //
    //  Execute the query to add our data to Keychain
    //
    let resultCode = SecItemAdd(insert_query as CFDictionary, nil);

Сначала я подумал, что у эмулятора есть некоторые проблемы, но нет, я смог проверить, присутствует ли Touch ID или нет со следующим кодом:

    //
    //  Check if the device the code is running on is capapble of 
    //  finger printing.
    //
    let dose_it_can = LAContext()
        .canEvaluatePolicy(
            .deviceOwnerAuthenticationWithBiometrics, error: nil);

    if(dose_it_can)
    {
        print("Yes it can");
    }
    else
    {
        print("No it can't");
    }

И я также смог программно показать всплывающее окно Touch ID со следующим кодом:

    //
    //  Show the Touch ID dialog to check if we can get a print from 
    //  the user
    //
    LAContext().evaluatePolicy(
        LAPolicy.deviceOwnerAuthenticationWithBiometrics,
        localizedReason: "Such important reason ;)",
        reply: {
            (status: Bool, evaluationError: Error?) -> Void in

            if(status)
            {
                print("OK");
            }
            else
            {
                print("Not OK");
            }

    });

Чтобы суммировать все это

Touch ID работает, но сохранение значения в Keychain с флагом, чтобы заставить Touch ID самой системой не работает - что мне не хватает?

Пример яблок

Пример, который Apple предоставляет под названием KeychainTouchID: использование Touch ID с Keychain и LocalAuthentication также показывает непоследовательный результат, а Touch ID не применяется система.

Технические характеристики

  • Xcode 8.1
  • Swift 3

Ответы

Ответ 1

Всплывающее окно Touch ID появляется только в том случае, если вы вызываете SecItemCopyMatching() в фоновом режиме. Это указано на стр. 118 PDF-презентации Брелок и аутентификация с сенсорным идентификатором:

Чтение секретов
...

dispatch_async(dispatch_get_global_queue(...), ^(void){
    CFTypeRef dataTypeRef = NULL;
    OSStatus status = SecItemCopyMatching((CFDictionaryRef)query,
                                     &dataTypeRef);
});

В противном случае вы блокируете основной поток, и всплывающее окно не появляются. SecItemCopyMatching(), затем сбой (после таймаута) с код ошибки -25293 = errSecAuthFailed.

Сбой не сразу проявляется в вашем примере проекта, потому что он печатает неверную переменную в случае ошибки, например

if(status != noErr)
{
    print("SELECT Error: \(resultCode)."); // <-- Should be `status`
}

и аналогичным образом для обновления и удаления.

Вот сводная версия вашего образца кода с необходимым отправьте в фоновый режим для извлечения элемента keychain. (Конечно, обновления пользовательского интерфейса должны быть отправлены обратно в основную очередь.)

Он работал, как ожидалось, в моем тесте на iPhone с Touch ID: Появится всплывающее окно Touch ID, и элемент keychain будет восстановлен только после успешная аутентификация.

Идентификация сенсорного идентификатора не работает на симуляторе iOS.

override func viewDidAppear(_ animated: Bool) {
    super.viewDidAppear(animated)

    //  This two values identify the entry, together they become the
    //  primary key in the database
    let myAttrService = "app_name"
    let myAttrAccount = "first_name"

    // DELETE keychain item (if present from previous run)

    let delete_query: NSDictionary = [
        kSecClass: kSecClassGenericPassword,
        kSecAttrService: myAttrService,
        kSecAttrAccount: myAttrAccount,
        kSecReturnData: false
    ]
    let delete_status = SecItemDelete(delete_query)
    if delete_status == errSecSuccess {
        print("Deleted successfully.")
    } else if delete_status == errSecItemNotFound {
        print("Nothing to delete.")
    } else {
        print("DELETE Error: \(delete_status).")
    }

    // INSERT keychain item

    let valueData = "The Top Secret Message V1".data(using: .utf8)!
    let sacObject =
        SecAccessControlCreateWithFlags(kCFAllocatorDefault,
                                        kSecAttrAccessibleWhenUnlockedThisDeviceOnly,
                                        .userPresence,
                                        nil)!

    let insert_query: NSDictionary = [
        kSecClass: kSecClassGenericPassword,
        kSecAttrAccessControl: sacObject,
        kSecValueData: valueData,
        kSecUseAuthenticationUI: kSecUseAuthenticationUIAllow,
        kSecAttrService: myAttrService,
        kSecAttrAccount: myAttrAccount
    ]
    let insert_status = SecItemAdd(insert_query as CFDictionary, nil)
    if insert_status == errSecSuccess {
        print("Inserted successfully.")
    } else {
        print("INSERT Error: \(insert_status).")
    }

    DispatchQueue.global().async {
        // RETRIEVE keychain item

        let select_query: NSDictionary = [
            kSecClass: kSecClassGenericPassword,
            kSecAttrService: myAttrService,
            kSecAttrAccount: myAttrAccount,
            kSecReturnData: true,
            kSecUseOperationPrompt: "Authenticate to access secret message"
        ]
        var extractedData: CFTypeRef?
        let select_status = SecItemCopyMatching(select_query, &extractedData)
        if select_status == errSecSuccess {
            if let retrievedData = extractedData as? Data,
                let secretMessage = String(data: retrievedData, encoding: .utf8) {

                print("Secret message: \(secretMessage)")

                // UI updates must be dispatched back to the main thread.

                DispatchQueue.main.async {
                    self.messageLabel.text = secretMessage
                }

            } else {
                print("Invalid data")
            }
        } else if select_status == errSecUserCanceled {
            print("User canceled the operation.")
        } else {
            print("SELECT Error: \(select_status).")
        }
    }
}