Lock.Android : Connexion sans mot de passe avec Magic Links

Pour éviter de demander à l’utilisateur de saisir un mot de passe à usage unique envoyé pour l’authentification sans mot de passe dans les applications Android, nous proposons la possibilité d’envoyer un lien sur lequel l’utilisateur peut appuyer pour se connecter sans aucune saisie manuelle.

Ces liens comprennent le même code que celui utilisé dans le flux habituel sans mot de passe, mais en configurant correctement ces liens, ils s’ouvriront directement dans votre application.

Rendez-vous aux réglages de l’application et cliquez sur Afficher les paramètres avancés au bas de la page. Ensuite, dans l’onglet « Réglages de l’appareil », vous devrez fournir le nom du package d’application Android et le hachage de la clé du certificat.

• Nom du package d’application : le nom du package, tel qu’il est déclaré dans le manifeste de l’application. Il est également présent dans le fichier app/build.gradle en tant qu’attribut applicationId. Si les deux valeurs sont différentes, utilisez celle de applicationId. Voici un exemple : com.example.android.myapp

• Hachages de clé : les empreintes SHA256 des certificats de signature de notre application Android. Vous pouvez en inclure plusieurs en les séparant par des virgules. Les empreintes des keystores de version et de débogage peuvent être indiquées ici. La section ci-dessous explique comment les obtenir. Voici un exemple : DE:1A:5B:75:27:AA:48:D5:A6:72:2F:76:43:95:9B:79:C6:86:1A:5B:75:27:AA:48:D5:A6:73:FE.

Après avoir défini les valeurs, n’oubliez pas de cliquer sur Enregistrer les modifications.

Utilisez la commande suivante pour générer l’empreinte numérique à l’aide de l’interface de ligne de commande Java keytool :

keytool -list -v -keystore my-release-key.keystore

ou pour obtenir la clé de débogage par défaut :

keytool -list -v -keystore ~/.android/debug.keystore -alias androiddebugkey -storepass android -keypass android

La valeur à utiliser dans le tableau de bord est « SHA256 ». Pour en savoir plus sur les keystores, consultez cet article officiel.

La connexion sans mot de passe par Magic Link ne fonctionne qu’avec la connexion sans mot de passe de type « courriel ». Rendez-vous au Dashboard > Authentification pour connexions sans mot de passe et cliquez sur Courriel. Une fenêtre contextuelle s’ouvrira et le modèle de courriel HTML + Liquid deviendra modifiable. Vérifiez que le corps contient une condition comme celle-ci :

{% if send == 'link' or send == 'link_ios' or send == 'link_android' %}
Your verification link is: {{ link }}
{% elsif send == 'code' %}
Your verification code is: {{ code }}
{% endif %}

Maintenant que l’application Auth0 est configurée, suivez les instructions et configurez PasswordlessLock avec Lock.Android comme indiqué dans la documentation sur la connexion sans mot de passe.

Lock’s Passwordless authentifie les utilisateurs en leur envoyant un courriel contenant un mot de passe à usage unique qui, dans ce cas, sera un LIEN au lieu d’un code. Si vous avez suivi le guide pour la connexion classique sans mot de passe, il vous suffit de supprimer l’appel useCode() et de le remplacer par useLink().

Enfin, lancez le gadget logiciel PasswordlessLock à partir de votre activité.

startActivity(lock.newIntent(this))

Après la demande du LIEN, l’écran suivant indique que l’utilisateur doit cliquer sur le LIEN pour se connecter. Si cela n’est pas possible, l’utilisateur peut toujours saisir le code qui sera visible après avoir cliqué sur le lien figurant dans le courriel reçu.

La bibliothèque Lock est prête à être utilisée avec les Liens d’application. Cette fonctionnalité, accessible à partir de la version 6.0 (niveau API 23) d’Android, permet à une application de se désigner comme gestionnaire par défaut d’un type de lien donné, sans afficher la boîte de dialogue de désambiguïsation qui demande à l’utilisateur s’il doit utiliser le navigateur ou son application pour ouvrir le lien.

Cela fonctionne tant que l’utilisateur n’a pas déjà choisi une application par défaut pour gérer ce modèle d’URI dans les paramètres de l’appareil Android.

Le traitement automatique des liens nécessite la coopération de votre application et du site Web Auth0. L’application doit déclarer l’association avec le site Web et demander au système de la vérifier. Le site Web doit, quant à lui, fournir cette vérification en publiant un fichier Liens vers les ressources numériques.

Auth0 génère automatiquement le fichier Liens vers les ressources numériques lorsque vous configurez le nom de l’application et le hachage de la clé comme indiqué précédemment. Le fichier devrait être accessible et sera vérifié lors de la prochaine installation de votre application Android si vous avez suivi toutes les étapes de cet article.

Vous trouverez plus d’informations sur les liens d’application dans les documents Android.