7月21日星期二，我们举办了最新的SAP客户数据云网络研讨会，名为"移动SDK–Android和iOS |走数字化的正确道路（第1部分）"。会议的主持人是：

Daniëlle Loppé–SAP客户数据云高级产品营销经理Alejandro Perez–SAP客户数据云技术架构师Ian Hametz–SAP Customer Data Cloud身份产品负责人

在本次网络研讨会上，我演示了如何使用SAP Customer Data Cloud设置移动应用程序，使用最新的生物特征轻松快速地登录，并通过结合双因素身份验证推送通知来提高移动应用程序的安全性。最终结果：更无缝、更个性化的体验和更强大、更值得信赖的客户关系。

此处是录音链接。

在本文中，我将介绍在移动应用程序中实现这些移动SDK功能的一些最佳实践。

如果可行，我建议您集成SAP客户数据云使用Android和iOS移动sdk访问您的移动应用程序。这些SDK提供对SAP Customer Data Cloud核心API的访问，同时支持会话管理、屏幕集、社交登录、生物识别和双因素身份验证等功能。这就是为什么我认为这些移动SDK是一个很好的方法：

移动SDK包括注册、登录和所有支持的配置文件管理流的现成业务API。移动SDK功能目前在生产中被成千上万的用户使用（体育、媒体、汽车等）。会话管理由移动SDK执行。您的开发团队不需要为令牌管理和刷新令牌实现像keychain一样的自定义存储机制。在移动应用程序中实现社交登录是可能的，只需最少的努力。SDK包括最受欢迎的社交提供商原生SDK（即Google、Facebook、LINE、WeChat）的包装。此外，您的移动应用程序只需稍加努力就可以合并社交提供商身份验证流所做的更改以及这些提供商决定在将来自己所做的更改。我在下图中说明了这一考虑：

使用SAP客户数据云移动SDK的移动应用程序的示例架构

从上图中可以看出，您的移动应用程序不需要直接与社交提供商SDK交互，而是与SAP客户数据云移动SDK交互。我发现这是最大的优势之一，因为它将大大减少在移动应用程序中添加社交登录所需的开发工作。

例如，假设您的iOS移动应用程序正在实现Facebook社交登录。自2020年4月起，Apple指南要求提供Apple ID作为另一种社交登录机制。

使用SAP Customer Data Cloud Mobile SDK，云服务器品牌，您不必从头学习如何使用Apple ID API，只需在启动社交登录时将"Apple"作为providerID传递即可，SDK将完成剩下的工作

这是我的首要安全建议：永远不要在移动应用程序的源代码中存储密钥！与SAP客户数据云交互的移动应用程序被认为是客户端应用程序或公共客户端。因此，永远不要在移动应用程序的源代码中存储密钥。具有基本技术知识的恶意用户可以反编译应用程序，并检索敏感信息。密钥（合作伙伴密钥、用户/应用程序密钥）只能在服务器调用中使用，不应传递给客户端应用程序。

现在，指纹验证是我们许多客户目前正在考虑实现的功能之一。生物特征认证通过使用生物特征识别来验证用户实际上是设备所有者，从而在移动应用程序中实现更高级别的安全性。在SAP Customer Data Cloud iOS和Android SDK中启用此功能后，会话将使用生物特征密钥加密。此生物识别通常是面部或指纹。

以下是一个示例，说明用户将如何确认其帐户上的生物识别身份验证选择加入：

生物识别身份验证选择加入对话框

请务必记住，生物识别身份验证不会取代SAP客户数据云身份验证机制（即登录ID+密码或社会登录或企业联合）。生物特征认证功能是在移动应用程序的现有会话之上的安全加密，因此，淘客推广渠道，调用任何生物特征操作都需要有效会话。

生物特征认证与其他安全措施一样，将对用户体验产生影响，可能不是所有类型移动应用程序的最佳选择。包含敏感数据的应用程序，淘客分佣系统，如金融、银行或与货币相关的交易，需要更高程度的安全性。在这种高风险的应用中，生物认证的集成更为有利。

对于这种数据敏感的应用，我建议您在用户每次需要访问应用或在应用中的特定操作时，都提示您进行人脸或指纹认证。

我相信您已经熟悉"双因素认证"的概念。例如，如果您的银行向您发送短信代码以确认它确实是您，免费云服务器永久使用，则您已经在使用TFA。

在SAP客户数据云中，"双因素身份验证"作为基于风险的身份验证功能的一部分提供。当为用户的帐户启用TFA时，将要求他们输入手机或电子邮件中收到的代码，内部优惠券，以便登录到移动应用程序。