WebAuthn | Uwierzytelnianie

Uwierzytelnianie WebAuthn umożliwia użytkownikom logowanie się przy użyciu wcześniej zarejestrowanych poświadczeń klucza publicznego. Polega na walidacji podpisanego wyzwania przy użyciu przechowywanego klucza publicznego użytkownika z rejestracji.

Opcje uwierzytelniania

Uwierzytelnianie wymaga, aby klient zainicjował przepływ uwierzytelniania przy użyciu nowego żądania HTTP do punktu końcowego opcji uwierzytelniania skonfigurowanego na serwerze TsgcWSAPIServer_WebAuthn. Domyślnie punktem końcowym jest /sgcWebAuthn/Authentication/Options, więc jeśli serwer nasłuchuje pod adresem https://www.test.com, klient powinien wysłać nowe żądanie do adresu URL https://www.test.com/sgcWebAuthn/Authentication/Options.

Klient wysyła potwierdzenie (odpowiedź uwierzytelniania) do serwera przez POST

{"username":"test","user_verification":"preferred"}

Serwer generuje PublicKeyCredentialRequestOptions

{
    "challenge": "9d0d61edf30b45f8b88aef7087f9117716e2b7d8b0ee4460b06142f39dd0ec9f",
    "timeout": 60000,
    "rpId": "localhost",
    "allowCredentials": [
        {
            "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
            "type": "public-key",
            "transports": [
                "nfc",
                "usb"
            ]
        }
    ],
    "userVerification": "preferred",
    "hints": [],
    "attestation": "none",
    "attestationFormats": [],
    "extensions": {}
}

Weryfikacja uwierzytelniania

Uwierzytelnianie wymaga, aby klient zainicjował przepływ uwierzytelniania, wysyłając nowe żądanie HTTP do punktu końcowego Authentication Verify Endpoint skonfigurowanego na serwerze TsgcWSAPIServer_WebAuthn. Domyślnie punkt końcowy to /sgcWebAuthn/Authentication/Verify, więc jeśli serwer nasłuchuje pod domeną https://www.test.com, klient powinien wysłać nowe żądanie pod adres https://www.test.com/sgcWebAuthn/Authentication/Verify.

Przeglądarka prosi użytkownika o użycie jego urządzenia uwierzytelniającego (np. odcisk palca, YubiKey). Urządzenie uwierzytelniające podpisuje wyzwanie kluczem prywatnym powiązanym z identyfikatorem poświadczenia. Zwrócone poświadczenie zawiera:

• rawId: Identyfikator poświadczenia (base64url).
• response.authenticatorData: Metadane z uwierzytelniacza (dane binarne).
• response.clientDataJSON: Zawiera oryginalne wyzwanie, origin i typ.
• response.signature: podpis obejmujący authenticatorData + skrót (hash) clientDataJSON.

Poniżej znajduje się przykład JSON żądania klienta:

{
    "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "response": {
        "authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_krrmihjLHmVzzuoMdl2MFAAAABw",
        "clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uZ.....",
        "signature": "MEQCIAJRqvvys8....",
        "userHandle": "36b9d6a84204487382fee62e7e67a80d"
    },
    "type": "public-key",
    "clientExtensionResults": {},
    "authenticatorAttachment": "cross-platform"
}

Serwer odczytuje żądanie od klienta, sprawdza, czy poświadczenie jest zapisane, i weryfikuje podpis. Jeśli podpis jest prawidłowy, wywoływane jest zdarzenie OnWebAuthnAuthenticationSuccessful.

Przepływ uwierzytelniania

Więcej informacji na temat procesu przepływu uwierzytelniania można znaleźć pod następującymi linkami:

• WebAuthn Authentication Request
• Odpowiedź uwierzytelniania WebAuthn
• Wynik uwierzytelniania WebAuthn