WebAuthn Advanced Usage Example

· Komponenten

Unten findest du ein ausführlicheres Delphi-Beispiel, das eigene Endpunkte, Challenge-Policies, datenbankgestützte Credential-Speicherung, FIDO-Metadata-Validierung und Cross-Origin-iframe-Unterstützung demonstriert. Der Code zeigt fortgeschrittenes Ereignis-Handling, um Sicherheits-Richtlinien durchzusetzen. 

sgcWebSockets-WebAuthn-Server-Beispiel

procedure TForm1.ConfigureWebAuthn;
begin
  // Component setup
  FWebAuthn := TsgcWSAPIServer_WebAuthn.Create(nil);
  FWebAuthn.Server := FHTTPServer;
  FWebAuthn.Enabled := True;
  // Endpoint remapping
  FWebAuthn.EndpointOptions.AuthenticationOptions := '/auth/options';
  FWebAuthn.EndpointOptions.AuthenticationVerify  := '/auth/verify';
  FWebAuthn.EndpointOptions.RegistrationOptions   := '/reg/options';
  FWebAuthn.EndpointOptions.RegistrationVerify    := '/reg/verify';
  // Relying-party definition
  with FWebAuthn.WebAuthnOptions do
  begin
    RelyingParty := 'secure.example.com';
    Origins      := 'https://app.example.com;https://login.example.net';
    TopOrigins   := 'https://host.example.org';
    AllowCrossOrigins := True;
    // Cryptographic & UX policies
    Algorithms       := 'ES256,RS256';
    UserVerification := 'preferred';
    Attestation      := 'direct';
    TimeoutMS        := 60000;
    // Challenge settings
    ChallengeOptions.ChallengeSize := 64; // 512-bit challenges
    ChallengeOptions.RandomFunc    := MyCryptoRandom; // custom RNG
    // Metadata Service configuration
    MDS.Enabled            := True;
    MDS.MDS_FileName       := 'mds.json';
    MDS.RootCert_FileName  := 'root.pem';
  end;
  // Hook events
  FWebAuthn.OnWebAuthnRegistrationOptionsRequest := AuthnRegOptionsRequest;
  FWebAuthn.OnWebAuthnRegistrationVerify         := AuthnRegVerify;
  FWebAuthn.OnWebAuthnRegistrationSuccessful     := AuthnRegSuccess;
  FWebAuthn.OnWebAuthnAuthenticationOptionsRequest := AuthnOptionsRequest;
  FWebAuthn.OnWebAuthnAuthenticationVerify         := AuthnVerify;
  FWebAuthn.OnWebAuthnAuthenticationSuccessful     := AuthnSuccess;
end;

Ereignis-Implementierungen

procedure TForm1.AuthnRegOptionsRequest(Sender: TObject;
  const Request: TsgcWebAuthnRequestOptions; Response: TsgcWebAuthnResponseOptions);
begin
  // Verify user is eligible for registration
  if UserExists(Request.Username) then
    raise Exception.Create('Username already registered');
  // Optionally assign a user handle (binary identifier)
  Response.User.ID := HexToBin(UserGUIDToHex(GenerateGUID));
  Response.AuthenticatorSelection.AuthenticatorAttachment := 'platform';
end;
procedure TForm1.AuthnRegVerify(Sender: TObject; const Credential: TsgcWebAuthnCredential; var Success: Boolean);
begin
  // Perform extra attestation validation against MDS entries
  Success := ValidateAttestationWithMDS(Credential);
end;
procedure TForm1.AuthnRegSuccess(Sender: TObject; const Credential: TsgcWebAuthnCredential);
begin
  // Persist credential details in database
  SaveCredentialToDB(
    Credential.Username,
    Credential.CredentialID,
    Credential.PublicKey,
    Credential.SignCount,
    Credential.UserHandle
  );
end;
procedure TForm1.AuthnOptionsRequest(Sender: TObject;
  const Request: TsgcWebAuthnRequestOptions; Response: TsgcWebAuthnResponseOptions);
begin
  // Retrieve all credential IDs for user
  Response.AllowCredentials := LoadCredentialIdsFromDB(Request.Username);
end;
procedure TForm1.AuthnVerify(Sender: TObject; const Credential: TsgcWebAuthnCredential; var Success: Boolean);
var
  StoredCounter: Cardinal;
begin
  // Ensure sign counter increases
  StoredCounter := GetSignCounterFromDB(Credential.CredentialID);
  if Credential.SignCount <= StoredCounter then
    Success := False
  else
    Success := True;
end;
procedure TForm1.AuthnSuccess(Sender: TObject; const Credential: TsgcWebAuthnCredential);
begin
  UpdateSignCounterInDB(Credential.CredentialID, Credential.SignCount);
  IssueSessionToken(Credential.Username);
end;

Wichtige Highlights

  1. Challenge-Härtung — Durch Vergrößern der Challenge und den Einsatz eines kryptographisch sicheren RNG werden Replay-Angriffe zusätzlich erschwert.
  2. Eigene User Handles — Das Zuweisen eines eindeutigen binären User Handles ermöglicht es dem Authenticator, eine datenschutzfreundliche Kennung zu speichern, die unabhängig vom Benutzernamen ist.
  3. Metadata-basierte Attestation-Validierung — Die Routine ValidateAttestationWithMDS prüft Authenticator-Modell, Status-Reports und Sperrlisten und sorgt dafür, dass nur vertrauenswürdige Geräte registriert werden.
  4. Sign-Counter-DurchsetzungAuthnVerify weist Antworten zurück, die den Counter des Authenticators nicht strikt erhöhen, und erkennt so geklonte Credentials.
  5. Datenbank-Integration — Credential-Daten, Sign Counter und Session-Token werden über externe Persistenz-Funktionen gespeichert und aktualisiert - das zeigt, wie du die Komponente in ein reales Backend einbindest.
  6. Cross-Origin-Iframe-Unterstützung — Aktiviert über AllowCrossOrigins und konfigurierte TopOrigins, sodass WebAuthn-Abläufe aus eingebetteten Frames (z. B. Login-Widget auf einer anderen Domain) initiiert werden können.
  7. Attestation-Policy — Direct-Attestation in Kombination mit MDS stellt sicher, dass sich nur freigegebene Authenticators registrieren können - nützlich für Enterprise-Compliance-Szenarien.
  8. Transport-Auswahl — Auch wenn nicht gezeigt, können Ereignisse die akzeptablen Transports (z. B. USB,NFC,BLE) einschränken, um zu steuern, welche Authenticator-Typen erlaubt sind.