WebAuthn | Registration

O Registro WebAuthn envolve o cliente (navegador), o autenticador (dispositivo de segurança) e a relying party (RP; servidor delphi/cbuilder TsgcWSAPIServer_WebAuthn).

 

Opções de Registro

 

A criação de uma nova credencial de usuário normalmente requer que o cliente inicie o fluxo de registro usando uma nova Requisição HTTP ao Registration Options Endpoint configurado no servidor TsgcWSAPIServer_WebAuthn. Por padrão, o endpoint é /sgcWebAuthn/Registration/Options, portanto, se seu servidor estiver escutando no domínio https://www.test.com, o cliente deve fazer uma nova requisição à url https://www.test.com/sgcWebAuthn/Registration/Options.

 

O cliente envia uma nova requisição passando como payload o seguinte json (usando test como nome de usuário)

 

{"username":"test","algorithms":[]}

 

O servidor lê a requisição e retorna uma resposta com um novo desafio.

 

{
    "rp": {
        "name": "localhost",
        "id": "localhost"
    },
    "user": {
        "id": "36b9d6a84204487382fee62e7e67a80d",
        "name": "test",
        "displayName": "test"
    },
    "challenge": "6c6c468c99f24bf29a85a15b661f75f385654f97309c46bab2909c926e17ccbe",
    "pubKeyCredParams": [
        {
            "type": "public-key",
            "alg": "-7"
        },
        {
            "type": "public-key",
            "alg": "-257"
        }
    ],
    "timeout": 60000,
    "excludeCredentials": [],
    "authenticatorSelection": {
        "residentKey": "preferred",
        "requireResidentKey": false,
        "userVerification": "preferred"
    },
    "attestation": "direct",
    "hints": [],
    "extensions": {
        "credProps": true
    }
}

 

A resposta retorna os seguintes dados:

 

• challenge: Dados binários aleatórios, codificados em base64.
• rp: Informações do Relying Party (sua aplicação/site web).
• user: Identificador do usuário e nome de exibição.
• pubKeyCredParams: Algoritmos permitidos (por exemplo, ES256, RS256).
• authenticatorSelection: Preferências para o tipo de autenticador (platform ou cross-platform, opções de verificação do usuário).
• timeout: Valor de timeout sugerido.
• attestation: Preferência de transmissão de atestação ("none", "direct", "indirect").

 

 

Registration Verify

 

Agora o cliente tem a resposta do servidor, lê a resposta e o autenticador retorna os dados criptográficos ao navegador web do cliente. Agora o cliente envia uma nova Requisição HTTP com os seguintes dados ao Registration Verify Endpoint configurado no servidor TsgcWSAPIServer_WebAuthn, por padrão é /sgcWebAuthn/Registration/Verify

, portanto, se seu servidor estiver escutando no domínio https://www.test.com, o cliente deve fazer uma nova requisição à url https://www.test.com/sgcWebAuthn/Registration/Verify.

 

O authenticator responde de volta ao JavaScript no navegador com:

 

• id: Credential ID (ID único para o par de chaves gerado pelo authenticator).
• rawId: Forma binária do Credential ID.
• type: Tipo de credencial ("public-key").
• response: Contém attestationObject e clientDataJSON.

 

Encontre abaixo um exemplo:

 

{
    "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "response": {
        "attestationObject": "o2NmbXRmcGFja2VkZ2F0dFN0....",
        "clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3Jl....",
        "transports": [
            "nfc",
            "usb"
        ],
        "publicKeyAlgorithm": -7,
        "publicKey": "MFkwEwYHKoZIzj0CAQYIKoZIzj....",
        "authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_k...."
    },
    "type": "public-key",
    "clientExtensionResults": {
        "credProps": {
            "rk": true
        }
    },
    "authenticatorAttachment": "cross-platform"
}

 

O servidor lê a requisição JSON do cliente e decodifica, verifica e armazena a chave pública e o credential ID.

 

Decodifique attestationObject e clientDataJSON:

 

• Extraia a chave pública de attestationObject.
• Valide se o desafio em clientDataJSON corresponde ao original enviado pelo servidor.
• Garanta a validação adequada da origem (myapp.example.com).

 

Store Credential:

 

• Se a verificação for bem-sucedida, o evento OnWebAuthnRegistrationSuccessful é chamado para que você possa armazenar com segurança o ID da credencial e a chave pública extraída no seu banco de dados para autenticações futuras.

 

• Se houver algum erro, o evento OnWebAuthnRegistrationError é chamado e você pode obter os detalhes do erro.

 

 

Fluxo de Registro

Obtenha mais informações sobre o processo de Fluxo de Registro usando os links a seguir:

 

• Requisição de Registro WebAuthn
• Resposta de Registro WebAuthn
• WebAuthn Registration Result