WebAuthn | Autenticação

A Autenticação WebAuthn permite que os usuários façam login utilizando credenciais de chave pública previamente registradas. Ela envolve validar um desafio (challenge) assinado utilizando a chave pública armazenada do usuário no registro.

 

 

Authentication Options

 

A autenticação requer que o cliente inicie o fluxo de autenticação utilizando uma nova HTTP Request ao Authentication Options Endpoint configurado no servidor TsgcWSAPIServer_WebAuthn. Por padrão, o endpoint é /sgcWebAuthn/Authentication/Options, então, se o seu servidor estiver escutando no domínio https://www.test.com, o cliente deve fazer uma nova requisição à url https://www.test.com/sgcWebAuthn/Authentication/Options.

 

O cliente envia a assertion (resposta de autenticação) ao Servidor via POST

 

{"username":"test","user_verification":"preferred"}

 

O servidor gera PublicKeyCredentialRequestOptions

 

{
    "challenge": "9d0d61edf30b45f8b88aef7087f9117716e2b7d8b0ee4460b06142f39dd0ec9f",
    "timeout": 60000,
    "rpId": "localhost",
    "allowCredentials": [
        {
            "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
            "type": "public-key",
            "transports": [
                "nfc",
                "usb"
            ]
        }
    ],
    "userVerification": "preferred",
    "hints": [],
    "attestation": "none",
    "attestationFormats": [],
    "extensions": {}
}

 

 

Authentication Verify

 

A autenticação requer que o cliente inicie o fluxo de autenticação utilizando uma nova HTTP Request ao Authentication Verify Endpoint configurado no servidor TsgcWSAPIServer_WebAuthn. Por padrão, o endpoint é /sgcWebAuthn/Authentication/Verify, então, se o seu servidor estiver escutando no domínio https://www.test.com, o cliente deve fazer uma nova requisição à url https://www.test.com/sgcWebAuthn/Authentication/Verify.

 

O navegador solicita ao usuário que utilize seu autenticador (por exemplo, impressão digital, YubiKey). O autenticador assina o desafio com a chave privada vinculada ao credential ID. A credencial retornada inclui:

 

• rawId: ID da credencial (base64url).
• response.authenticatorData: Metadados do autenticador (binário).
• response.clientDataJSON: Contém o desafio (challenge) original, a origin e o type.
• response.signature: Assinatura sobre authenticatorData + hash(clientDataJSON).

 

Encontre abaixo um exemplo json da requisição do cliente:

 

{
    "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "response": {
        "authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_krrmihjLHmVzzuoMdl2MFAAAABw",
        "clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uZ.....",
        "signature": "MEQCIAJRqvvys8....",
        "userHandle": "36b9d6a84204487382fee62e7e67a80d"
    },
    "type": "public-key",
    "clientExtensionResults": {},
    "authenticatorAttachment": "cross-platform"
}

 

O servidor lê a requisição do cliente, valida que a credencial está armazenada e verifica a assinatura. Se a assinatura for válida, o evento OnWebAuthnAuthenticationSuccessful é chamado.

 

 

 

Authentication Flow

Obtenha mais informações sobre o processo de Authentication Flow utilizando os links a seguir:

 

• Requisição de Autenticação WebAuthn
• Resposta de Autenticação WebAuthn
• Resultado da autenticação WebAuthn