WebAuthn Authentication | Odpowiedź

Po tym, jak przeglądarka (klient) wyśle żądanie do serwera z nazwą użytkownika (lub podobnym identyfikatorem), serwer odpowiada opcjami uwierzytelnienia, których klient użyje do rozpoczęcia procesu uwierzytelnienia za pomocą API przeglądarki navigator.credentials.get().

Ta odpowiedź dostarcza parametry i ograniczenia wymagane przez przeglądarkę do wygenerowania asercji uwierzytelniania WebAuthn przy użyciu urządzenia uwierzytelniającego użytkownika (np. klucza bezpieczeństwa, urządzenia biometrycznego).

Przykładowa odpowiedź JSON:

{
  "challenge": "Z3lVbWV5YXBpbmdvZG90IQ", 
  "timeout": 60000,
  "rpId": "example.com",
  "allowCredentials": [
    {
      "type": "public-key",
      "id": "dXNlckNyZWRJZA",
      "transports": ["usb", "nfc", "ble"]
    }
  ],
  "userVerification": "preferred"
}

Poniżej znajduje się opis pól:

• challenge: Kryptograficzne wyzwanie (generowane losowo) w celu zapobiegania atakom powtórzeniowym. Musi być unikalne dla każdego żądania.
• timeout: Opcjonalnie. Czas (w ms), przez który przeglądarka powinna czekać przed anulowaniem operacji.
• rpId: Identyfikator strony ufającej (Relying Party) — zazwyczaj nazwa domeny.
• allowCredentials: Lista akceptowalnych poświadczeń (identyfikatorów poświadczeń) wcześniej zarejestrowanych przez użytkownika.
• userVerification: Informuje przeglądarkę, jak weryfikować użytkownika: "required", "preferred" lub "discouraged".
• extensions (opcjonalne): Dodatkowe możliwości lub dane żądane od uwierzytelniacza.

Przed wysłaniem odpowiedzi do klienta wywoływane jest zdarzenie OnWebAuthnAuthenticationOptionsResponse, umożliwiając dostosowanie odpowiedzi.