Het doel is de ondertekende bewering van de browser te valideren, die bewijst dat de gebruiker de privésleutel bezit die oorspronkelijk is geregistreerd. Dit is wat de gebruiker veilig aanmeldt. Nadat de gebruiker interactie heeft met zijn authenticator (bijv. vingerafdruk, beveiligingssleutel), stuurt de browser een POST-verzoek terug naar de server met het authenticatieresultaat. Hieronder vindt u een JSON-voorbeeld:
{
"id": "credential-id",
"rawId": "base64url-encoded-credential-id",
"type": "public-key",
"response": {
"clientDataJSON": "base64url",
"authenticatorData": "base64url",
"signature": "base64url",
"userHandle": "optional"
}
}
Wanneer de server dit verzoek ontvangt op het geconfigureerde endpoint (bijv. /sgcWebAuthn/Authentication/Verify), moet deze de volgende stappen valideren:
Als alle validaties correct zijn, is de authenticatie geslaagd en wordt de gebeurtenis OnWebAuthnAuthenticationSuccessful aangeroepen.
Als een controle mislukt, wordt de gebeurtenis OnWebAuthnAuthenticationError aangeroepen met de reden voor de fout.