支付宝的指纹解锁成功后 向服务器发送带什么信息的请求?

OAuth 协议

就本地验证吧。如果对你手机有物理接触的话，理论上都能破解。所以人家一度取消了，但你们又不高兴。

真正的关键是手机要锁屏、不越狱 /root 、全盘加密。另外 sim 卡要上锁。

支付宝请求系统进行指纹验证-用户输入指纹-系统向支付宝反馈指纹识别结果（布尔值）

@SourceMan @jinwyp 应该不是这样 如果是布尔值 太容易伪造了
根据我观察了好几个 Touch ID 的 app
貌似都是这样：
先要设置密码 password 或者数字密码 passcode 然后才可以选择 是否开启 Touch ID
所以我觉得 应该是吧 password/passcode 放在了 keychain 里面

对于 OAuth Token 这种 其实也可以这样：
第一次验证成功后 把 token 存在 keychain 里面

下次需要登录的时候
只需要验证 Touch ID 指纹是否透过 通过了就把它从 keychain 里面拿出来用就可以了

我没有记错的话 应该有 Touch ID 保护的 安全 keychain 这么个机制

支付宝在几款手机（只在三星 S6 上测试过）上支持指纹支付，指纹支付使用的是 FIDO UAF 方案。

FIDO 原理是在本地生成一对非对称密钥对，公钥发给认证服务器。进行认证 /交易的时候本地的私钥对认证 /交易信息签名，签名信息发到认证服务器，服务器用公钥验证。指纹的用途是授权本地私钥的使用。

FIDO