Passkey
Passkey est activé via le Portail SDK. Aucune modification n'est nécessaire dans l'intégration Android — l'activation est entièrement gérée côté plateforme.
Passkey est actuellement disponible pour Android uniquement. Le SDK iOS ne prend pas en charge cette fonctionnalité.
Passkey sur Android utilise le protocole Digital Asset Links pour établir une association vérifiable et sécurisée entre l'application native du client et le domaine web d'Unico. Ce lien est obligatoire par la conception du système d'exploitation Android pour l'authentification avec les passkeys dans les applications mobiles Google.
Avant de générer une paire de clés pour une passkey, l'authentificateur Android vérifie l'identifiant de partie de confiance (RP ID) présent dans la réponse du serveur par rapport au nom de domaine spécifié dans le fichier Digital Asset Links. Sans cette vérification réussie, Passkey ne fonctionnera tout simplement pas.
Qu'est-ce que SHA-256 et pourquoi est-il nécessaire ?
L'empreinte SHA-256 est un hash unique généré à partir du certificat de signature de l'application, utilisé pour identifier l'authenticité et l'intégrité de l'application.
Ce certificat correspond à la clé utilisée pour signer l'APK/AAB avant la distribution sur le Google Play Store. Il est nécessaire d'enregistrer cette empreinte dans le fichier assetlinks.json hébergé par Unico sous le chemin /.well-known/assetlinks.json. Ce fichier est entièrement géré par Unico et ne peut être mis à jour qu'en soumettant un ticket de support.
Le fichier doit inclure deux permissions spécifiques :
delegate_permission/common.handle_all_urls— pour les Android App Linksdelegate_permission/common.get_login_creds— pour le partage des identifiants entre le site web et l'application Android
…ainsi que le nom du package et l'empreinte SHA-256 du client.
Le SHA-256 doit être enregistré à deux endroits : le fichier public assetlinks.json et la configuration du serveur (origine attendue). Enregistrez les empreintes pour chaque configuration de signature utilisée — debug, release et toute variante de produit — car chacune génère une empreinte différente.
Il est possible d'extraire l'empreinte SHA-256 en utilisant l'outil keytool du Java Development Kit (JDK), ou de la trouver directement dans la Google Play Console dans la section App Signing sous Setup > App integrity.
keytool -list -v -keystore <your-keystore.jks> -alias <key-alias>
Avant qu'une opération de passkey puisse réussir, les éléments suivants doivent être en place :
- Nom de package et empreinte SHA-256 de l'application enregistrés dans le fichier
assetlinks.jsond'Unico (soumettre un ticket de support pour enregistrer ou mettre à jour les empreintes) - Empreinte SHA-256 de l'application enregistrée dans la configuration du serveur (origine attendue)
- Empreintes enregistrées pour chaque configuration de signature utilisée (debug, release, variantes de produit)