开发 | 让小程序用上「指纹识别」，只需这 3 个接口

在 8 月 18 日的小程序新能力更新中，微信团队为小程序增加了生物识别（包括指纹识别）的能力。

最初，小程序文档中只有具体接口调用方法，并没有给出小程序中调用指纹识别的最佳实践。

现在，官方文档终于为开发者提供了指纹识别的具体鉴权方法，同时提供了一个接口，供开发者鉴别指纹识别是否正确。

下面，知晓程序（微信号 zxcx0101）将根据官方文档，教大家如何正确地在小程序中，调用指纹识别。

关注「知晓程序」微信公众号，回复「开发」，获取小程序全套开发经验教程。

如何调用指纹识别接口？

在小程序中，微信为指纹识别提供了两个接口：

• wx.checkIsSupportSoterAuthentication()
• wx.startSoterAuthentication()

根据两个接口的名字，我们可以知道：前者用于检查当前设备是否支持生物识别，后者则是实际调用指纹识别的接口。

那么，整个调用过程的逻辑就很简单了：先检测当前设备和微信版本是否支持指纹识别，如果支持，则调用指纹识别进行鉴权。

1. 如何检测是否可以调用指纹识别？

利用 wx.checkIsSupportSoterAuthentication() 接口和 wx.canIUse() 接口，我们可以检测小程序在当前设备上，是否可以使用指纹识别。

具体代码如下：

if (wx.canIUse('checkIsSupportSoterAuthentication')) { // 检测当前微信版本是否支持调用指纹相关接口
  wx.checkIsSupportSoterAuthentication({
    success(res) {
      console.log(res)
    }
  })
}

我们从调试台中，可以看到调用结果含有 supportMode 参数，里面包裹一个数组。

官方文档的说法是，如果数组中包含有 'fingerPrint'，那么就代表当前设备可以使用指纹识别功能。

根据以上信息，我们来改写一下代码。

if (wx.canIUse('checkIsSupportSoterAuthentication')) { 
  wx.checkIsSupportSoterAuthentication({
    success(res) {
      if(res.supportMode[0] == 'fingerPrint'){ // 写法不严谨，正确写法应该是遍历数组查找
        // 在此具体调用指纹识别
      }else{
        console.log('当前设备不支持指纹识别')
      }
    }
  })
}

需要注意的是，如果用户的设备不支持指纹验证，你应该为用户提供替代验证方式。

2. 如何调用指纹识别？

确认小程序可以使用指纹识别之后，我们就可以进入正式的接口调用环节了。

示例的代码如下：

wx.startSoterAuthentication({
  requestAuthModes: ['fingerPrint'],
  challenge: '123456',
  authContent: '请用指纹解锁',
  success(res) {
    // res 中包含授权数据，需要进一步验证正确性
  },
  fail(res){
    console.log('用户取消了指纹识别，或调用出现错误')
  }
})

在这个接口中，有这些参数：

• requestAuthModes：允许的生物鉴权方式，以数组的形式呈现。需要指纹识别，只需填入 'finerPrint‘ 。
• challenge：官方称为「挑战因子」，可以将请求特征码（订单号、请求编号等）放入，确认用户的是授权哪一个请求。
• authContent：在指纹识别的对话框中，向用户显示的提示信息。

将两个接口合并起来用，最终我们的代码效果如下：

if (wx.canIUse('checkIsSupportSoterAuthentication')) { 
  wx.checkIsSupportSoterAuthentication({
    success(res) {
      if(res.supportMode[0] == 'fingerPrint'){ // 写法不严谨，正确写法应该是遍历数组查找
        wx.startSoterAuthentication({
          requestAuthModes: ['fingerPrint'],
          challenge: '123456',
          authContent: '请用指纹解锁',
          success(res) {
            // res 中包含授权数据，需要进一步验证正确性
          },
          fail(res){
            console.log('用户取消了指纹识别，或调用出现错误')
          }
        })
      }else{
        console.log('当前设备不支持指纹识别')
      }
    }
  })
}

最后我们试着运行一下。看到这样的提示，说明我们的调用成功了：

如何鉴别指纹信息的真实性？

如果你的小程序没有非常严格的安全要求（例如，数据存储在本地的日记本小程序等），到这一步已经可以结束了。

但如果你的小程序需要更强的安全性（例如金融交易类的小程序），你还要确认指纹信息的真实性，以防有人以伪造数据的方式，破解指纹验证。

在 wx.startSoterAuthentication() 接口中，微信会向小程序返回指纹识别数据。开发者需要根据这些数据，进行进一步的验证。

1. 接口会返回什么信息？

调用 wx.startSoterAuthentication() 接口所返回的数据示例如下：

小程序文档中，已经给这些参数的具体含义做出解释。

需要注意的是，返回值里还有 resultJSON 这个参数，它本身就是一个被转换成字符串的 JSON 对象。开发者如果需要获取里面的内容，需要 JSON.parse 解析。

resultJSON 具体参数如下：

2. 如何鉴定这些信息？

微信官方已经放出了鉴定指纹信息的流程图，我们可以大致了解到具体的鉴定方法。

这里我们需要提到的是「异步调用微信官方后台验证接口」这一步骤。在文档中，微信团队已经提供一个供验证指纹信息的接口。

它的调用地址是 http://api.weixin.qq.com/cgi-bin/soter/verify_signature?access_token=%access_token（嗯，它甚至没有使用 HTTPS……），需要使用 POST 方式传入具体参数。

对于具体参数，文档出只给出了这样一行：

{"openid":"$openid", "json_string" : "$json", "json_signature" : "$sign" }

官方并没有给出参数具体意义。据知晓程序（微信号 zxcx0101）猜测，这些参数具体含义应该是：

但据知晓程序测试，如果直接调用，会出现 48001 的错误，并提示 API 未授权，目前不知道哪些小程序可以使用这个接口验证指纹信息。

有兴趣的同学可以自行尝试，并将结果告诉我们。

我们也希望微信官方可以继续完善这个接口（和文档），让开发者更方便地利用指纹接口，开发出具有高安全性和体验良好的小程序。

关注「知晓程序」公众号 👇

• 在微信后台回复「开发」，获取小程序全套开发经验。
• 在微信后台回复「666」，加入知晓开发联盟。