L'obiettivo è validare l'asserzione firmata fornita dal browser, che dimostra che l'utente possiede la chiave privata originariamente registrata. Questo è ciò che autentica in modo sicuro l'utente. Dopo che l'utente interagisce con il proprio autenticatore (ad esempio, impronta digitale, chiave di sicurezza), il browser invia una richiesta POST al server con il risultato dell'autenticazione. Di seguito è riportato un esempio in formato JSON:
{
"id": "credential-id",
"rawId": "base64url-encoded-credential-id",
"type": "public-key",
"response": {
"clientDataJSON": "base64url",
"authenticatorData": "base64url",
"signature": "base64url",
"userHandle": "optional"
}
}
Quando il server riceve questa richiesta all'endpoint configurato (ad es., /sgcWebAuthn/Authentication/Verify), deve validare i seguenti passaggi:
Se tutte le validazioni sono corrette, l'autenticazione ha esito positivo e viene chiamato l'evento OnWebAuthnAuthenticationSuccessful.
Se uno qualsiasi dei controlli fallisce, viene chiamato l'evento OnWebAuthnAuthenticationError con il motivo dell'errore.