WebAuthn | Rejestracja

Rejestracja WebAuthn obejmuje klienta (przeglądarkę), urządzenie uwierzytelniające (urządzenie zabezpieczające) oraz stronę ufającą (RP; serwer Delphi/C++Builder TsgcWSAPIServer_WebAuthn).

Opcje rejestracji

Tworzenie nowych danych uwierzytelniających użytkownika zazwyczaj wymaga zainicjowania przez klienta przepływu rejestracji za pomocą nowego żądania HTTP do punktu końcowego opcji rejestracji skonfigurowanego na serwerze TsgcWSAPIServer_WebAuthn. Domyślnie punkt końcowy to /sgcWebAuthn/Registration/Options; jeśli serwer nasłuchuje pod domeną https://www.test.com, klient powinien wysłać nowe żądanie pod adres URL https://www.test.com/sgcWebAuthn/Registration/Options.

Klient wysyła nowe żądanie, przekazując jako ładunek następujący JSON (używając „test" jako nazwy użytkownika)

{"username":"test","algorithms":[]}

Serwer odczytuje żądanie i zwraca odpowiedź z nowym wyzwaniem.

{
    "rp": {
        "name": "localhost",
        "id": "localhost"
    },
    "user": {
        "id": "36b9d6a84204487382fee62e7e67a80d",
        "name": "test",
        "displayName": "test"
    },
    "challenge": "6c6c468c99f24bf29a85a15b661f75f385654f97309c46bab2909c926e17ccbe",
    "pubKeyCredParams": [
        {
            "type": "public-key",
            "alg": "-7"
        },
        {
            "type": "public-key",
            "alg": "-257"
        }
    ],
    "timeout": 60000,
    "excludeCredentials": [],
    "authenticatorSelection": {
        "residentKey": "preferred",
        "requireResidentKey": false,
        "userVerification": "preferred"
    },
    "attestation": "direct",
    "hints": [],
    "extensions": {
        "credProps": true
    }
}

Odpowiedź zwraca następujące dane:

• challenge: Losowe dane binarne zakodowane w base64.
• rp: informacje o Relying Party (aplikacja/strona internetowa).
• user: Identyfikator użytkownika i nazwa wyświetlana.
• pubKeyCredParams: Dozwolone algorytmy (np. ES256, RS256).
• authenticatorSelection: Preferencje dotyczące typu uwierzytelniającego (platformowy lub między platformami, opcje weryfikacji użytkownika).
• timeout: Sugerowana wartość limitu czasu.
• attestation: Preferencja przekazywania potwierdzenia („none", „direct", „indirect").

Weryfikacja rejestracji

Teraz klient otrzymuje odpowiedź z serwera, odczytuje ją, a uwierzytelniacz zwraca dane kryptograficzne do przeglądarki klienta. Klient wysyła nowe żądanie HTTP z następującymi danymi do punktu końcowego weryfikacji rejestracji skonfigurowanego w serwerze TsgcWSAPIServer_WebAuthn; domyślnie jest to /sgcWebAuthn/Registration/Verify

, więc jeśli serwer nasłuchuje w domenie https://www.test.com, klient powinien wysłać nowe żądanie pod adres URL https://www.test.com/sgcWebAuthn/Registration/Verify.

Authenticator odpowiada z powrotem do kodu JavaScript w przeglądarce za pomocą:

• id: Identyfikator poświadczeń (unikalny identyfikator pary kluczy wygenerowanej przez authenticator).
• rawId: Binarna postać identyfikatora poświadczeń.
• type: Typ poświadczenia ("public-key").
• response: Zawiera attestationObject i clientDataJSON.

Poniżej znajduje się przykład:

{
    "id": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "rawId": "yeA4BVRlrAfLG-KzqsL_rlI4ffhuKHK8uoEkVoab065UkS82Zqlh9VFQHIYwOuOo",
    "response": {
        "attestationObject": "o2NmbXRmcGFja2VkZ2F0dFN0....",
        "clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3Jl....",
        "transports": [
            "nfc",
            "usb"
        ],
        "publicKeyAlgorithm": -7,
        "publicKey": "MFkwEwYHKoZIzj0CAQYIKoZIzj....",
        "authenticatorData": "SZYN5YgOjGh0NBcPZHZgW4_k...."
    },
    "type": "public-key",
    "clientExtensionResults": {
        "credProps": {
            "rk": true
        }
    },
    "authenticatorAttachment": "cross-platform"
}

Serwer odczytuje żądanie JSON od klienta, a następnie dekoduje, weryfikuje i przechowuje klucz publiczny oraz identyfikator poświadczeń.

Dekoduj attestationObject i clientDataJSON:

• Wyodrębnij klucz publiczny z attestationObject.
• Sprawdź, czy wyzwanie w clientDataJSON odpowiada oryginalnemu wysłanemu przez serwer.
• Należy zapewnić właściwą weryfikację źródła (myapp.example.com).

Przechowaj poświadczenie:

• Jeśli weryfikacja zakończy się powodzeniem, wywoływane jest zdarzenie OnWebAuthnRegistrationSuccessful, umożliwiające bezpieczne przechowanie identyfikatora poświadczenia i wyodrębnionego klucza publicznego w bazie danych w celu przyszłych uwierzytelnień.

• W przypadku wystąpienia błędu wywoływane jest zdarzenie OnWebAuthnRegistrationError, które pozwala uzyskać szczegółowe informacje o błędzie.

Przepływ rejestracji

Więcej informacji na temat procesu rejestracji można znaleźć pod następującymi linkami:

• Żądanie rejestracji WebAuthn
• Odpowiedź rejestracji WebAuthn
• Wynik rejestracji WebAuthn