WebAuthn | 登録

WebAuthn 登録にはクライアント（ブラウザ）、認証器（セキュリティデバイス）、およびリライングパーティ（RP; TsgcWSAPIServer_WebAuthn Delphi/CBuilderサーバー）が関与します。

 

登録オプション

 

新しいユーザー資格情報の作成には通常、クライアントが TsgcWSAPIServer_WebAuthn サーバーで設定された登録オプションエンドポイントへの新しい HTTP リクエストを使用して登録フローを開始する必要があります。デフォルトのエンドポイントは /sgcWebAuthn/Registration/Options です。サーバーがドメイン https://www.test.com でリスニングしている場合、クライアントは URL https://www.test.com/sgcWebAuthn/Registration/Options に新しいリクエストを行う必要があります。

 

クライアントは、以下の JSON をペイロードとして（ユーザー名として test を使用して）新しいリクエストを送信します。

 

{"username":"test","algorithms":[]}

 

サーバーは要求を読み取り、新しいチャレンジを含む応答を返します。

 

{
"rp": {
"name": "localhost",
"id": "localhost"
},
"user": {
"id": "36b9d6a84204487382fee62e7e67a80d",
"name": "test",
"displayName": "test"
},
"challenge": "6c6c468c99f24bf29a85a15b661f75f385654f97309c46bab2909c926e17ccbe",
"pubKeyCredParams": [
{
"type": "public-key",
"alg": "-7"
},
{
"type": "public-key",
"alg": "-257"
}
],
"timeout": 60000,
"excludeCredentials": [],
"authenticatorSelection": {
"residentKey": "preferred",
"requireResidentKey": false,
"userVerification": "preferred"
},
"attestation": "direct",
"hints": [],
"extensions": {
"credProps": true
}
}

 

応答は以下のデータを返します。

 

• challenge: base64 エンコードされたランダムなバイナリデータ。
• rp: リライングパーティ情報（あなたの Web アプリ/サイト）。
• user： ユーザー識別子と表示名。
• pubKeyCredParams: 許可されるアルゴリズム (例: ES256、RS256)。
• authenticatorSelection: オーセンティケーターのタイプ（platform または cross-platform、ユーザー検証オプション）に関する設定です。
• timeout: 推奨タイムアウト値。
• attestation: アテステーション伝達設定（"none"、"direct"、"indirect"）。

 

 

登録の確認

 

クライアントがサーバーからレスポンスを受け取ると、レスポンスを読み取り、オーセンティケーターはクライアントのウェブブラウザーに暗号化データを返します。クライアントは次に TsgcWSAPIServer_WebAuthn サーバーで設定された登録検証エンドポイント（デフォルトは /sgcWebAuthn/Registration/Verify）に以下のデータを含む新しい HTTP リクエストを送信します。

そのため、サーバーがドメイン https://www.test.com でリスニングしている場合、クライアントは URL https://www.test.com/sgcWebAuthn/Registration/Verify に新しいリクエストを行う必要があります。

 

認証者はブラウザの JavaScript に以下で応答します:

 

• id: Credential ID（認証器が生成したキーペアの一意のID）。
• rawId: Credential IDのバイナリ形式。
• type:認証情報の種類（"public-key"）。
• response： attestationObject と clientDataJSON を含みます。

 

以下に使用例を示します。

 

{
"id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
"rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
"response": {
"attestationObject": "o2NmbXRmcGFja2VkZ2F0dFN0....",
"clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3Jl....",
"transports": [
"nfc",
"usb"
],
"publicKeyAlgorithm": -7,
"publicKey": "MFkwEwYHKoZIzj0CAQYIKoZIzj....",
"authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_k...."
},
"type": "public-key",
"clientExtensionResults": {
"credProps": {
"rk": true
}
},
"authenticatorAttachment": "cross-platform"
}

 

サーバーはクライアントからのJSONリクエストを読み取り、公開鍵と資格情報IDをデコード、検証、保存します。

 

attestationObject と clientDataJSON をデコードします:

 

• attestationObject から公開鍵を抽出します。
• clientDataJSON のチャレンジがサーバーから送信された元のものと一致することを検証します。
• 適切なオリジン検証を確保してください（myapp.example.com）。

 

資格情報の保存:

 

• 検証が成功すると、OnWebAuthnRegistrationSuccessful イベントが呼び出されるため、将来の認証のために認証情報 ID と抽出された公開鍵をデータベースに安全に保存できます。

 

• エラーが発生した場合は、イベント OnWebAuthnRegistrationError が呼び出され、エラーの詳細を取得できます。

 

 

登録フロー

以下のリンクを使用して登録フロープロセスの詳細を確認します:

 

• WebAuthn 登録リクエスト
• WebAuthn 登録レスポンス
• WebAuthn 登録結果