WebAuthn 身份验证 | 响应

一旦浏览器（客户端）向服务器发送带有用户名（或类似标识符）的请求，服务器会回复客户端将用于通过浏览器的 navigator.credentials.get() API 开始认证流程的认证选项。

 

此响应提供浏览器使用用户的身份验证器（例如安全密钥、生物识别设备）生成 WebAuthn 身份验证断言所需的参数和约束。

 

示例 JSON 响应：

 

{
  "challenge": "Z3lVbWV5YXBpbmdvZG90IQ", 
  "timeout": 60000,
  "rpId": "example.com",
  "allowCredentials": [
    {
      "type": "public-key",
      "id": "dXNlckNyZWRJZA",
      "transports": ["usb", "nfc", "ble"]
    }
  ],
  "userVerification": "preferred"
}

 

以下是字段说明：

 

• challenge：加密挑战（随机生成），用于防止重放攻击。每次请求必须唯一。
• timeout： 可选。浏览器在取消操作前应等待的时间（毫秒）。
• rpId：依赖方标识符，通常是您的域名。
• allowCredentials：用户之前注册的可接受凭据列表（凭据 ID）。
• userVerification：告知浏览器如何验证用户："required"、"preferred" 或 "discouraged"。
• extensions（可选）：从验证器请求的附加功能或数据。

 

 

在响应发送给客户端之前，调用 OnWebAuthnAuthenticationOptionsResponse 事件，允许您自定义响应。