WebAuthn | Registrierung

An der WebAuthn-Registrierung sind der Client (Browser), der Authenticator (Sicherheitsgerät) und die Relying Party (RP; TsgcWSAPIServer_WebAuthn Delphi/C++Builder-Server) beteiligt.

 

Registrierungsoptionen

 

Das Erstellen einer neuen Benutzeranmeldeinformation erfordert üblicherweise, dass der Client den Registrierungsablauf mit einer neuen HTTP-Anfrage an den im TsgcWSAPIServer_WebAuthn-Server konfigurierten Registration Options Endpoint startet. Standardmäßig ist der Endpunkt /sgcWebAuthn/Registration/Options, wenn Ihr Server also in der Domain https://www.test.com lauscht, sollte der Client eine neue Anfrage an die URL https://www.test.com/sgcWebAuthn/Registration/Options stellen.

 

Der Client sendet eine neue Anfrage und übergibt als Nutzlast das folgende JSON (mit test als Benutzername)

 

{"username":"test","algorithms":[]}

 

Der Server liest die Anfrage und gibt eine Antwort mit einer neuen Challenge zurück.

 

{
    "rp": {
        "name": "localhost",
        "id": "localhost"
    },
    "user": {
        "id": "36b9d6a84204487382fee62e7e67a80d",
        "name": "test",
        "displayName": "test"
    },
    "challenge": "6c6c468c99f24bf29a85a15b661f75f385654f97309c46bab2909c926e17ccbe",
    "pubKeyCredParams": [
        {
            "type": "public-key",
            "alg": "-7"
        },
        {
            "type": "public-key",
            "alg": "-257"
        }
    ],
    "timeout": 60000,
    "excludeCredentials": [],
    "authenticatorSelection": {
        "residentKey": "preferred",
        "requireResidentKey": false,
        "userVerification": "preferred"
    },
    "attestation": "direct",
    "hints": [],
    "extensions": {
        "credProps": true
    }
}

 

Die Antwort gibt die folgenden Daten zurück:

 

• challenge: Randomisierte Binärdaten, base64-kodiert.
• rp: Relying-Party-Informationen (Ihre Webanwendung/-site).
• user: Benutzerbezeichner und Anzeigename.
• pubKeyCredParams: Erlaubte Algorithmen (z. B. ES256, RS256).
• authenticatorSelection: Präferenzen für den Authenticator-Typ (Plattform oder plattformübergreifend, Optionen zur Benutzerverifizierung).
• timeout: Vorgeschlagener Timeout-Wert.
• attestation: Präferenz für die Attestierungsübermittlung ("none", "direct", "indirect").

 

 

Registration Verify

 

Jetzt hat der Client die Antwort vom Server, liest die Antwort, und der Authenticator gibt die kryptografischen Daten an den Client-Webbrowser zurück. Jetzt sendet der Client eine neue HTTP-Anfrage mit den folgenden Daten an den Registration-Verify-Endpunkt, der im TsgcWSAPIServer_WebAuthn-Server konfiguriert ist, standardmäßig /sgcWebAuthn/Registration/Verify

, sodass der Client, wenn Ihr Server in der Domain https://www.test.com lauscht, eine neue Anfrage an die URL https://www.test.com/sgcWebAuthn/Registration/Verify stellen sollte.

 

Der Authenticator antwortet dem JavaScript im Browser mit:

 

• id: Credential-ID (eindeutige ID für das vom Authenticator generierte Schlüsselpaar).
• rawId: Binärform der Credential ID.
• type: Anmeldedatentyp ("public-key").
• response: Enthält attestationObject und clientDataJSON.

 

Nachfolgend ein Beispiel:

 

{
    "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "response": {
        "attestationObject": "o2NmbXRmcGFja2VkZ2F0dFN0....",
        "clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3Jl....",
        "transports": [
            "nfc",
            "usb"
        ],
        "publicKeyAlgorithm": -7,
        "publicKey": "MFkwEwYHKoZIzj0CAQYIKoZIzj....",
        "authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_k...."
    },
    "type": "public-key",
    "clientExtensionResults": {
        "credProps": {
            "rk": true
        }
    },
    "authenticatorAttachment": "cross-platform"
}

 

Der Server liest den JSON-Request des Clients und decodiert, verifiziert und speichert den öffentlichen Schlüssel und die Credential-ID.

 

attestationObject und clientDataJSON decodieren:

 

• Extrahiert den öffentlichen Schlüssel aus attestationObject.
• Validieren Sie, dass die Challenge in clientDataJSON mit der ursprünglich vom Server gesendeten übereinstimmt.
• Stellen Sie eine ordnungsgemäße Origin-Validierung sicher (myapp.example.com).

 

Anmeldedaten speichern:

 

• Wenn die Überprüfung erfolgreich ist, wird das Ereignis OnWebAuthnRegistrationSuccessful aufgerufen, sodass Sie die Credential-ID und den extrahierten öffentlichen Schlüssel sicher in Ihrer Datenbank für zukünftige Authentifizierungen speichern können.

 

• Wenn ein Fehler auftritt, wird das Ereignis OnWebAuthnRegistrationError aufgerufen, und Sie können die Details des Fehlers abrufen.

 

 

Registrierungsablauf

Weitere Informationen zum Registrierungsablauf finden Sie über die folgenden Links:

 

• WebAuthn Registration Request
• WebAuthn Registrierungsantwort
• WebAuthn Registration Result