WebAuthn Authentication | Response

Una volta che il browser (client) invia una richiesta al server con il nome utente dell'utente (o un identificatore simile), il server risponde con le opzioni di autenticazione che il client utilizzerà per avviare il processo di autenticazione tramite l'API navigator.credentials.get() del browser.

 

Questa risposta fornisce i parametri e i vincoli necessari al browser per generare un'asserzione di autenticazione WebAuthn utilizzando l'autenticatore dell'utente (ad es. chiave di sicurezza, dispositivo biometrico).

 

Esempio di risposta JSON:

 

{
"challenge": "Z3lVbWV5YXBpbmdvZG90IQ",
"timeout": 60000,
"rpId": "example.com",
"allowCredentials": [
{
"type": "public-key",
"id": "dXNlckNyZWRJZA",
"transports": ["usb", "nfc", "ble"]
}
],
"userVerification": "preferred"
}

 

Di seguito è riportata una descrizione dei campi:

 

• challenge: Una sfida crittografica (generata casualmente) per prevenire gli attacchi di replay. Deve essere univoca per ogni richiesta.
• timeout: Opzionale. Per quanto tempo (in ms) il browser deve attendere prima di annullare l'operazione.
• rpId: Identificatore della Relying Party — di solito il nome del proprio dominio.
• allowCredentials: Un elenco di credenziali accettabili (ID credenziale) precedentemente registrate dall'utente.
• userVerification: Informa il browser su come verificare l'utente: "required", "preferred" o "discouraged".
• extensions (facoltativo): Funzionalità o dati aggiuntivi richiesti all'autenticatore.

 

 

Prima che la risposta venga inviata al client, viene chiamato l'evento OnWebAuthnAuthenticationOptionsResponse, consentendo di personalizzare la risposta.