采用通行密钥后，X的登录成功率提高了1倍

作者 / 开发者关系工程师 Niharika Arora

X 是一款社交媒体应用，涵盖各类时事内容，旨在帮助全球近 5 亿用户通过实时评述了解事件始末。最近，X 开发者改进了 Android 应用的登录流程，以便用户不会错过他们感兴趣的讨论。通过使用 Credential Manager API，团队实施了新的通行密钥身份验证，以便用户更快捷、更轻松、更安全地访问应用。

X

https://play.google.com/store/apps/details？id=com.twitter.android&hl=en_US

Credential Manager API

https://developer.android.google.cn/identity/sign-in/credential-manager

通行密钥

https://developer.android.google.cn/design/ui/mobile/guides/patterns/passkeys

使用通行密钥简化登录流程

如今，基于密码的传统身份验证系统安全性较低，而且更容易受到网络攻击。许多用户通常会选择易于猜测的密码，导致不法分子可以轻松暴力破解这些密码。用户还会在多个帐号中重复使用相同的密码，这意味着如果一个密码被黑客破解，所有帐号都会受到影响。

通行密钥完全摒弃了密码，解决了因弱密码和网络钓鱼攻击而日益增长的账户安全问题。该功能提供了更安全、更顺畅的登录体验，让用户无需记住自己的用户名或密码。

“通行密钥利用 PIN 码或指纹、面部识别等生物识别数据取代密码，是一种更简单、更安全的登录方式。” X 安全主管 Kylie McRoberts 表示。“我们探索了如何使用通行密钥为用户提供更轻松、更安全的登录体验，从而在帮助用户保护帐号安全的同时，还省去了记住密码的麻烦。”

自 X 团队实施通行密钥以来，登录时间大幅缩短，各项指标也表明登录流程有所改善。使用通行密钥，应用的登录成功率比仅依靠密码提高了一倍。团队还发现，启用通行密钥的用户提出的密码重置请求也有所减少。

据 X 开发者表示，采用通行密钥带来的好处不止是提高安全性和简化登录体验，还有降低成本和改善用户体验等。

Kylie 表示： “通行密钥提供了强大的固有身份验证能力，帮助我们降低了基于短信的双重身份验证相关成本。并且借助轻松登录这一优势，用户更愿意使用我们的平台，因为这减少了记住或重置密码的阻碍。”

通行密钥依靠公钥加密对用户进行身份验证并为他们提供私钥。这意味着网站和应用可以查看和存储公钥，但不能获取由用户的凭证提供程序加密和存储的私钥。由于密钥是唯一的，并且与网站或应用相关联，因此不易受网络钓鱼攻击，从而进一步增强了安全性。

使用 Credential Manager API

进行无缝集成

为了集成通行密钥，X 开发者使用了 Android 的 Credential Manager API，据 Kylie 表示，这使得整个过程 “非常顺畅”。该 API 将 Smart Lock、One Tap 和 Google Sign-In 整合为一个单一、简化的工作流程。这也使开发者能够删除数百行代码，从而提高实现效率并减少维护开销。

最后，X 开发者迁移到 Credential Manager 仅用了两周的时间，然后用了两周时间完全支持通行密钥。X 资深工程师 Saurabh Arora 表示，这是一次 “非常快速的迁移”，团队 “没想到会如此简单直接”。得益于 Credential Manager 使用简单且基于协程的 API，处理多种身份验证选项的复杂性基本上得以消除，代码数量、出现错误的可能性以及整体的开发者工作量也得以减少。

X 开发者通过集成 Credential Manager API 显著提升了开发效率。借助 Credential Manager API 转向采用通行密钥，他们实现了：

身份验证模块的代码减少 80%

解决了 90% 的遗留边缘案例错误

GIS、One Tap 和 Smart Lock 需要处理的代码减少 85%

使用 Credential Manager API 的最佳方法 （如 createCredential 和 getCredential），通过消除与各个协议相关的自定义逻辑复杂性，简化了集成过程。这种统一的方法还意味着 X 开发者可以使用单一且一致的接口来处理各种身份验证类型，例如通行密钥、密码和联合登录 （如使用 Google 帐号登录）。

“使用 Credential Manager 简单的 API 方法，我们只需一次调用即可检索通行密钥、密码和联合令牌，从而减少分支逻辑并使响应处理更清晰。” Saurabh 表示。“使用不同的 API 方法 （如 createCredential（） 和 getCredential（） 也简化了凭据存储，让我们在同一位置即可处理密码和通行密钥。”

X 开发者在使用 Credential Manager API 实施 “通过 Google 帐号登录” 方法时没有遇到太多挑战。用更简单的 Credential Manager 实现取代 X 之前的 Google Sign In、One Tap 和 Smart Lock 代码，意味着开发者不再需要处理连接或断开状态以及活动结果，从而降低了错误率。

通行密钥的未来

X 集成通行密钥的做法表明，实现更安全、更友好的身份验证体验是可行的。通过 Credential Manager API，X 开发者简化了集成流程，减少了潜在的错误，并提高了安全性和开发速度，同时改善了用户体验。

“对于考虑集成通行密钥的开发者，我们的建议是利用 Credential Manager API。” Saurabh 表示。“此 API 确实简化了流程，并减少了您需要编写和维护的代码，让开发者能够更好实现功能。”

展望未来，X 计划允许仅使用通行密钥注册并提供专用的通行密钥管理界面，以进一步提升用户体验。

开始使用

即刻了解如何使用通行密钥和 Credential Manager API 提升应用的用户登录体验。

通行密钥

https://developer.android.google.cn/design/ui/mobile/guides/patterns/passkeys

Credential Manager API

https://developer.android.google.cn/identity/sign-in/credential-manager