目的は、ブラウザが提供した署名済みアサーションを検証し、ユーザーが最初に登録された秘密鍵を所有していることを証明することです。これがユーザーを安全にログインさせます。ユーザーがオーセンティケーター(例:指紋認証、セキュリティキー)を操作した後、ブラウザは認証結果とともに POST リクエストをサーバーに送り返します。以下に JSON の例を示します:
{
"id": "credential-id",
"rawId": "base64url-encoded-credential-id",
"type": "public-key",
"response": {
"clientDataJSON": "base64url",
"authenticatorData": "base64url",
"signature": "base64url",
"userHandle": "optional"
}
}
サーバーが構成されたエンドポイント(例: /sgcWebAuthn/Authentication/Verify)でこのリクエストを受信すると、次のステップを検証する必要があります。
すべての検証が正しい場合、認証は成功し、OnWebAuthnAuthenticationSuccessfulイベントが呼び出されます。
いずれかのチェックが失敗した場合、OnWebAuthnAuthenticationError イベントがエラーの理由とともに呼び出されます。