ISO/IEC 29179 — 移动标识 — 应用指南

1. 移动标识应用开发框架

ISO/IEC 29179 为集成移动标识功能的应用程序开发者提供了全面的指导。与定义基础设施级协议的 29177 和 29178 不同，本标准侧重于应用程序编程接口（API）设计模式、用户体验考量和生命周期管理实践，帮助开发者构建稳健的移动标识功能。

对所有标识 API 调用采用中介者模式：创建一个封装整个标识流程的 IdentificationManager 外观类。这减少了应用程序逻辑与不断发展的标识基础设施之间的耦合，使未来的标准升级对 UI 层透明。

该标准定义了移动标识应用的四个集成级别：级别 0（仅设备本地标识，无网络）、级别 1（基本网络验证）、级别 2（多因素与代理编排）和级别 3（持续自适应认证）。每个级别对错误处理、回退行为和用户通知有特定要求。大多数商业应用应将级别 2 作为最低基线。

该标准推荐采用受 RESTful 原则启发的面向资源 API 设计。每个标识操作（注册、验证、更新、删除）映射到身份资源上的标准 HTTP 方法。错误响应遵循一致的信封格式，包含机器可读的错误代码、人类可读的消息、用于调试的关联 ID 以及适用的重试时间头。

切勿向最终用户显示原始错误代码或堆栈跟踪。将内部错误（如”ISP 503 — 上游超时”）映射为用户友好消息（如”验证服务暂时不可用。请几分钟后重试。”），以避免混淆用户和泄露系统拓扑。

29179 中描述的一个特别重要的模式是”渐进式注册”流程。与其要求用户一次性填写冗长的注册表单，应用程序会逐步收集标识数据——从最小集合（如电话号码）开始，在用户访问更高价值功能时请求额外的验证因素。这种方法在保持安全性的同时显著提高了转化率。

移动标识凭证具有有限的生命周期，可能独立于应用程序被撤销或更新。ISO/IEC 29179 提供了关于凭证生命周期管理的详细指导：主动刷新（在当前凭证过期前请求更新后的凭证）、优雅降级（在无法获取新凭证时以降低的能力继续运行）和安全删除（在不再需要时以密码学方式擦除凭证材料）。

实现一个后台凭证刷新机制，在当前凭证生命周期过去 70% 时触发。这种策略称为”70% 续期规则”，在生产部署中可将因凭证过期导致的认证失败减少约 40%。

测试移动标识应用需要专门的方法。该标准提倡三层测试策略：各个标识操作的单元测试、针对代理模拟器的集成测试，以及针对模拟真实提供商行为的预生产环境进行的端到端测试。模拟提供商应实现逼真的延迟分布（而非固定延迟），以暴露仅在可变网络条件下出现的性能问题。

注意”回退循环”反模式：当主要标识方法失败时，应用程序最多应尝试一次回退方法。无限制的回退重试可能触发级联验证请求，使下游提供商不堪重负，并在您自己的基础设施上造成拒绝服务状况。

问：能否将 29179 与现有的 OAuth 2.0 流程集成？
答：可以。该标准明确规定了移动标识操作如何映射到 OAuth 2.0 授权类型和 OpenID Connect 作用域，实现与现有授权框架的无缝共存。

问：如何处理丢失移动设备的用户？
答：使用带外验证（如电子邮件确认加知识问答）实施恢复工作流。该标准规定了最低恢复安全要求，以防止社会工程攻击。

问：推荐的生物特征模板存储方式是什么？
答：生物特征模板应仅存储在设备的安全飞地或 TEE 中。除非使用符合 ISO/IEC 24745 生物特征信息保护的安全协议，否则切勿通过网络传输原始生物特征样本。

问：该标准支持基于推送的认证吗？
答：支持。基于推送通知的认证流程在标准的临近和存在验证附录中有详细描述，包括通知负载安全和重放防护的具体指导。