KeyGuard项目中的Android端Chrome凭证管理API与Passkey支持问题解析

背景概述

在移动设备身份验证领域，Passkey作为一种基于FIDO2/WebAuthn标准的无密码验证方案正在快速普及。近期在KeyGuard密码管理器（版本1.12.2）用户反馈中发现，当在Android设备（如三星Galaxy Tab S8+）的Chromium内核浏览器（如Brave）中使用Passkey功能时，系统会强制调用Google密码管理器而非KeyGuard，甚至直接报错。

技术原理分析

1. Chrome凭证管理API演进

Android端的Chromium内核浏览器原本通过系统Autofill框架集成密码管理器。Google在Android 15中引入了新的Credential Manager API，这是专为现代认证方式设计的系统级接口，具有以下特性：

• 统一管理传统密码和Passkey凭证
• 支持FIDO2协议的后台通信
• 提供标准的用户界面交互流程

2. 兼容性变更

旧版实现依赖chrome://flags中的实验性标志位控制第三方密码管理器接入。新版强制要求：

• 应用必须实现Credential Provider Service
• 需要声明CREDENTIAL_PROVIDER权限
• 必须支持跨应用Intent跳转验证流程

问题解决方案

Brave浏览器的特殊配置

经实际验证发现，在Brave移动版中需要手动启用隐藏标志位：

1. 访问brave://flags
2. 搜索"Autofill settings"
3. 启用相关实验性功能
4. 重启浏览器后即可在系统设置中选择KeyGuard作为默认凭证提供方

开发建议

对于KeyGuard这类第三方密码管理器，完整的Passkey支持需要：

1. 实现CredentialProviderService抽象类
2. 处理BEGIN_GET_CREDENTIAL等标准Intent
3. 集成FIDO2客户端到认证流程
4. 适配Android 15的运行时权限模型

行业影响

此案例反映了密码管理生态系统的三个重要趋势：

1. 标准化进程加速：各大厂商正在推动统一API规范
2. 安全边界强化：系统级API取代松散耦合的实现
3. 用户体验统一：强制规范带来跨应用的一致性

用户操作指南

普通用户若遇到类似问题可尝试：

1. 检查系统默认凭证管理器设置
2. 更新密码管理器到最新版本
3. 在浏览器设置中重置Autofill偏好
4. 如使用Brave，按前述方法启用实验性功能

未来展望

随着FIDO联盟标准的持续推进，预计将有更多系统级API出现，密码管理器开发者需要保持对Android Credential Manager API更新的持续关注，特别是在多设备同步、生物识别集成等前沿领域。