WebAuthn Authentication | Odpowiedź

Po tym, jak przeglądarka (klient) wyśle żądanie do serwera z nazwą użytkownika (lub podobnym identyfikatorem), serwer odpowiada opcjami uwierzytelnienia, których klient użyje do rozpoczęcia procesu uwierzytelnienia za pomocą API przeglądarki navigator.credentials.get().

Ta odpowiedź dostarcza parametry i ograniczenia wymagane przez przeglądarkę do wygenerowania asercji uwierzytelniania WebAuthn przy użyciu urządzenia uwierzytelniającego użytkownika (np. klucza bezpieczeństwa, urządzenia biometrycznego).

Przykładowa odpowiedź JSON:

{
"challenge": "Z3lVbWV5YXBpbmdvZG90IQ",
"timeout": 60000,
"rpId": "example.com",
"allowCredentials": [
{
"type": "public-key",
"id": "dXNlckNyZWRJZA",
"transports": ["usb", "nfc", "ble"]
}
],
"userVerification": "preferred"
}

Poniżej znajduje się opis pól:

• challenge: Kryptograficzne wyzwanie (generowane losowo) w celu zapobiegania atakom powtórzeniowym. Musi być unikalne dla każdego żądania.
• timeout: Opcjonalnie. Czas (w ms), przez który przeglądarka powinna czekać przed anulowaniem operacji.
• rpId: Identyfikator strony ufającej (Relying Party) — zazwyczaj nazwa domeny.
• allowCredentials: Lista akceptowalnych poświadczeń (identyfikatorów poświadczeń) wcześniej zarejestrowanych przez użytkownika.
• userVerification: Informuje przeglądarkę, jak weryfikować użytkownika: "required", "preferred" lub "discouraged".
• extensions (opcjonalne): Dodatkowe możliwości lub dane żądane od uwierzytelniacza.

Przed wysłaniem odpowiedzi do klienta wywoływane jest zdarzenie OnWebAuthnAuthenticationOptionsResponse, umożliwiając dostosowanie odpowiedzi.