目标是验证浏览器提供的已签名断言,该断言证明用户拥有最初注册的私钥。这是安全登录用户的关键。用户与其认证器(例如指纹、安全密钥)交互后,浏览器会将包含认证结果的 POST 请求发送回服务器。以下是一个 JSON 示例:
{
"id": "credential-id",
"rawId": "base64url-encoded-credential-id",
"type": "public-key",
"response": {
"clientDataJSON": "base64url",
"authenticatorData": "base64url",
"signature": "base64url",
"userHandle": "optional"
}
}
当服务器在配置的端点(例如 /sgcWebAuthn/Authentication/Verify)收到此请求时,必须验证以下步骤:
如果所有验证均正确,则身份验证成功,并调用事件 OnWebAuthnAuthenticationSuccessful。
若任何检查失败,将调用 OnWebAuthnAuthenticationError 事件并说明错误原因。