Amaç, tarayıcı tarafından sağlanan imzalı assertion'ı doğrulamaktır; bu, kullanıcının başlangıçta kaydedilen özel anahtara sahip olduğunu kanıtlar. Kullanıcıyı güvenli bir şekilde oturum açtıran şey budur. Kullanıcı kimlik doğrulayıcısıyla etkileşime girdikten sonra (örneğin parmak izi, güvenlik anahtarı), tarayıcı kimlik doğrulama sonucuyla birlikte sunucuya bir POST isteği gönderir. Aşağıda bir json örneği bulabilirsiniz:
{
"id": "credential-id",
"rawId": "base64url-encoded-credential-id",
"type": "public-key",
"response": {
"clientDataJSON": "base64url",
"authenticatorData": "base64url",
"signature": "base64url",
"userHandle": "optional"
}
}
Sunucu bu isteği yapılandırılmış uç noktada (örneğin /sgcWebAuthn/Authentication/Verify) aldığında, aşağıdaki adımları doğrulamalıdır:
Tüm doğrulamalar doğruysa, kimlik doğrulama başarılı olur ve OnWebAuthnAuthenticationSuccessful olayı çağrılır.
Herhangi bir kontrol başarısız olursa, OnWebAuthnAuthenticationError olayı, hatanın nedeniyle birlikte çağrılır.