三星Galaxy S10在Android 10上的面部识别被系统归类为BIOMETRIC_WEAK（弱生物识别），而你生成密钥时的参数要求「每次使用都需要用户认证」——这个约束仅支持BIOMETRIC_STRONG（强生物识别，比如指纹、虹膜）类型的验证。

虽然biometricManager.canAuthenticate()返回了BIOMETRIC_SUCCESS（只要有任何生物识别注册就会返回成功），但这个检测并没有区分生物识别的强度，所以会出现「检测可用但密钥生成失败」的矛盾情况。

根据你的业务需求，选择以下两种方案之一：

方案1：调整密钥约束，兼容弱生物识别（如果业务允许） #

如果你的场景可以接受面部识别这类弱生物识别来生成密钥，修改KeyGenParameterBuilder的配置，去掉「每次使用都强制认证」的强约束，替换为有效期内免认证：

// 初始化KeyStore
KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
keyStore.load(null);

// 构建密钥生成参数
KeyGenParameterBuilder keyGenBuilder = new KeyGenParameterBuilder(
        "your_key_alias",
        KeyProperties.PURPOSE_SIGN)
        .setAlgorithmParameterSpec(new ECGenParameterSpec("secp256r1"))
        .setDigests(KeyProperties.DIGEST_SHA256)
        .setUserAuthenticationRequired(true)
        // 替换原来的-1（每次都认证）为一个有效时长，比如5分钟
        .setUserAuthenticationValidityDurationSeconds(300);

// 生成密钥
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(
        KeyProperties.KEY_ALGORITHM_EC, "AndroidKeyStore");
keyPairGenerator.initialize(keyGenBuilder.build());
keyPairGenerator.generateKeyPair();

这个修改后，只要有任何生物识别（包括面部）注册，就能成功生成密钥，且在有效期内无需重复验证。

方案2：强制要求强生物识别（业务安全要求高时） #

如果必须使用强生物识别生成密钥，需要在密钥生成前精准检测强生物识别的可用性，而不是通用的生物识别检测：

BiometricManager biometricManager = BiometricManager.from(context);
boolean isStrongBiometricAvailable;

if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.Q) {
    // Android 10+ 明确检测强生物识别
    int authResult = biometricManager.canAuthenticate(BiometricManager.Authenticators.BIOMETRIC_STRONG);
    isStrongBiometricAvailable = authResult == BiometricManager.BIOMETRIC_SUCCESS;
} else {
    // Android 9及以下，指纹默认是强生物识别，用原有检测方式
    isStrongBiometricAvailable = biometricManager.canAuthenticate() == BiometricManager.BIOMETRIC_SUCCESS;
}

if (isStrongBiometricAvailable) {
    // 执行密钥生成逻辑
} else {
    // 提示用户注册指纹/虹膜等强生物识别，或切换其他认证方式
    Toast.makeText(context, "请注册指纹以完成密钥生成", Toast.LENGTH_SHORT).show();
}

这样就能提前拦截仅注册面部的情况，避免后续抛出异常。

• 三星设备在Android 10上的生物识别分类逻辑和原生系统略有差异，面部识别被归为弱生物识别是主要诱因；
• setUserAuthenticationValidityDurationSeconds(-1)是强约束，仅支持强生物识别，这是Android 10引入的安全规则；
• 确保你的KeyStore始终使用AndroidKeyStore实例，这是生物识别密钥的唯一合法存储容器。

内容的提问来源于stack exchange，提问作者Langohr