وسائل نقل WebAuthn: وسائل النقل الداخلية والهجينة

الورقة البيضاء للمؤسسات حول Passkeys. إرشادات عملية وأنماط إطلاق ومؤشرات KPI لبرامج passkeys.

احصل على الورقة البيضاء

ملاحظة: وفقًا لمواصفات WebAuthn، يشير تسلسل عمليات النقل الفارغ إلى أن معلومات النقل غير متوفرة أو محجوبة لأسباب تتعلق بالخصوصية. وغالبًا ما تعاملها المتصفحات على أن جميع وسائل النقل قد تكون ممكنة.

عند تنفيذ مفاتيح المرور عبر منصات مختلفة، يواجه المطورون قرارًا مهمًا:

• كيف يجب التعامل مع وسائل نقل WebAuthn، وخاصة وسائل النقل الداخلية (internal) والهجينة (hybrid)، لضمان توفير أفضل تجارب المصادقة عبر الأجهزة؟

يكمن الجواب في فهم وسائل نقل WebAuthn - وهي تفاصيل فنية تحدد كيفية تواصل أدوات المصادقة مع الأطراف المعتمدة. في حين تبدو وسائل النقل واضحة من الناحية النظرية، إلا أن تنفيذها يختلف بشكل كبير عبر متصفحات الويب وتطبيقات iOS الأصلية وتطبيقات Android الأصلية، خاصة بالنسبة للتعامل مع وسائل النقل الداخلية والهجينة.

يبحث هذا المقال في كيفية عمل وسائل نقل WebAuthn عبر المنصات المختلفة ويعرض نهجين مميزين للتعامل مع وسائل النقل الداخلية والهجينة - لكل منهما مقايضاته الخاصة.

يغطي هذا المقال:

1. وسائل نقل WebAuthn: الداخلية، والهجينة، وأدوات المصادقة الخاصة بالمنصة عبر الويب وiOS وAndroid
2. نهجان: التعامل المطابق للمواصفات مقابل التعامل المحسن مع وسائل النقل الداخلية والهجينة
3. أفضل الممارسات والتوصيات لتنفيذ المصادقة عبر الأجهزة

تحدد وسائل نقل WebAuthn طرق التواصل بين أدوات المصادقة وأجهزة العملاء. تحدد مواصفات WebAuthn Level 3 ستة أنواع لوسائل النقل:

usb: تُستخدم بواسطة مفاتيح الأمان المادية التي تتصل عبر منافذ USB، مثل YubiKeys أو رموز الأمان FIDO2 الأخرى.

nfc: تتيح التواصل مع أدوات المصادقة من خلال تقنية الاتصال قريب المدى (NFC)، مما يسمح للمستخدمين بتمرير مفاتيح الأمان الخاصة بهم أو الأجهزة التي تدعم NFC.

ble: تُسهل المصادقة عبر Bluetooth Low Energy، مما يتيح الاتصال اللاسلكي مع أدوات المصادقة الخارجية.

smart-card: تُستخدم لقارئات البطاقات الذكية، مما يتيح المصادقة عبر البطاقات الذكية.

hybrid: تتيح المصادقة عبر الأجهزة، عادةً عندما يقوم المستخدم بمسح رمز استجابة سريعة (QR) لمصادقة الأجهزة - مثل استخدام هاتف للمصادقة على متصفح سطح المكتب، أو العكس. قد تؤدي وسيلة النقل هذه إلى ظهور مطالبات برمز الاستجابة السريعة على كل من أجهزة سطح المكتب والأجهزة المحمولة، وهو ما قد لا يكون مرغوبًا فيه دائمًا اعتمادًا على السياق. ملاحظة: تمت إضافة hybrid في WebAuthn Level 3.

internal: تكون أداة المصادقة مدمجة داخل الجهاز نفسه - مثل iCloud Keychain (التي يتم التحقق منها عبر Face ID أو Touch ID) على أجهزة iPhone، أو Windows Hello على أجهزة الكمبيوتر الشخصية، أو Google Password Manager على أجهزة Android. هذه هي أدوات المصادقة الخاصة بالمنصة.

عند إنشاء مفتاح مرور، تشير أداة المصادقة إلى وسائل النقل التي تدعمها. يتم إرسال هذه المعلومات إلى الطرف المعتمد (الواجهة الخلفية الخاصة بك)، والذي يجب أن يحتفظ بها إلى جانب بيانات الاعتماد. أثناء المصادقة، يرسل الطرف المعتمد وسائل النقل هذه مرة أخرى إلى العميل في قائمة allowCredentials، مما يساعد المتصفح أو المنصة على تحديد طرق المصادقة التي يجب تقديمها للمستخدم.

يختلف التعامل مع وسائل النقل بشكل كبير عبر المنصات، مما يخلق تحديات التوافق التي يواجهها المطورون.

تتلقى المتصفحات معلومات النقل من أدوات المصادقة وتلتزم بها أثناء مسارات المصادقة. عند إنشاء مفتاح مرور في Chrome أو Safari أو Edge، يقدم مدير بيانات الاعتماد في المتصفح بيانات النقل التي تختلف بناءً على أداة المصادقة الأساسية:

أدوات المصادقة الخاصة بالمنصة: يوفر Windows Hello قيمة ["internal"] فقط، مما يعكس طبيعته المرتبطة بالجهاز. ومع ذلك، عندما يستخدم Chrome مدير كلمات المرور من Google كأداة مصادقة، فإنه يوفر ["internal", "hybrid"] لأن مدير كلمات المرور من Google يدعم المصادقة عبر الأجهزة عن طريق هواتف Android.

مفاتيح الأمان المادية: توفر وسائل نقل محددة مثل ["usb", "nfc"] بناءً على إمكاناتها الفعلية.

مديرو كلمات المرور المتزامنة سحابيًا: توفر iCloud Keychain في Safari وGoogle Password Manager في Chrome عادةً ["internal", "hybrid"] لدعم مسارات المصادقة المحلية وعبر الأجهزة.

تتدفق هذه المعلومات بشكل موثوق في سياقات الويب، على الرغم من أن وسائل النقل المحددة تعتمد على أداة المصادقة التي يحددها المتصفح لتخزين بيانات الاعتماد.

التوثيق: مواصفات W3C WebAuthn

تتصرف واجهة برمجة تطبيقات Credential Manager في نظام Android بشكل مشابه لمتصفحات الويب. عند إنشاء مفاتيح مرور في تطبيقات Android الأصلية، يوفر مدير بيانات الاعتماد معلومات النقل التي تعكس سلوك الويب - تُبلغ أدوات المصادقة الخاصة بالمنصة عن قدراتها بدقة، ويتعامل النظام مع بيانات النقل بشكل متسق. يمكن لمطوري Android الاعتماد على هذه المعلومات دون الحاجة إلى معالجة خاصة.

التوثيق: Android Credential Manager

يقدم نظام iOS حالة أكثر تعقيدًا. يتعامل إطار عمل AuthenticationServices من Apple مع وسائل النقل بشكل مختلف بناءً على نوع أداة المصادقة:

أدوات المصادقة الخاصة بالمنصة (iCloud Keychain، التي يتم التحقق منها عبر Face ID أو Touch ID): غالبًا ما تُرجع مصفوفات نقل فارغة أثناء إنشاء مفتاح المرور. ويشير هذا إلى أن معلومات النقل غير متوفرة أو محجوبة لأسباب تتعلق بالخصوصية - وفقًا لمواصفات WebAuthn، يمكن لوكلاء المستخدم إرجاع تسلسلات فارغة عندما تكون معلومات النقل غير معروفة أو للحفاظ على الخصوصية. يجب أن تتعامل الأطراف المعتمدة مع وسائل النقل كإشارات بدلاً من كونها ضمانات.

مفاتيح الأمان: توفر معلومات النقل (على سبيل المثال، ["usb"]، ["nfc"]) عند استخدامها مع أجهزة iOS، باتباع النمط المتوقع.

التوثيق: Apple AuthenticationServices

تكشف بيانات الإنتاج الواقعية من تطبيقات الويب والتطبيقات الأصلية عن أنماط النقل التالية، مرتبة حسب التكرار. لاحظ أن هذه التوزيعات تتأثر بتفاصيل التنفيذ والتركيبة السكانية للعميل (استخدام الأجهزة المحمولة مقابل سطح المكتب، وتوافر التطبيقات الأصلية)، لكنها توفر نظرة ثاقبة قيّمة حول الاستخدام النموذجي للنقل:

الرؤى الرئيسية:

أدوات المصادقة الخاصة بالمنصة هي المهيمنة: تستخدم الأغلبية العظمى من مفاتيح المرور وسيلة النقل internal، والتي غالبًا ما يتم دمجها مع hybrid لدعم المصادقة عبر الأجهزة. يعكس هذا تركيز المستهلك على أدوات المصادقة الخاصة بالمنصة (iCloud Keychain و Google Password Manager).

المصفوفات الفارغة شائعة: تقوم تطبيقات iOS الأصلية بشكل متكرر بإرجاع مصفوفات نقل فارغة لأدوات المصادقة الخاصة بالمنصة، وهو ما يمثل جزءًا كبيرًا من بيانات الاعتماد في بيئات الإنتاج. كما تمت مناقشته في القسم 2.2.3، تشير هذه إلى معلومات النقل غير المتاحة بدلاً من الدعم الشامل لوسائل النقل.

مفاتيح الأمان نادرة: تمثل مفاتيح الأمان المادية (usb, nfc) جزءًا ضئيلًا جدًا من مفاتيح المرور في بيئات الإنتاج، مما يشير إلى استخدامها الأساسي في سيناريوهات المؤسسات أو السيناريوهات عالية الأمان بدلاً من تطبيقات المستهلك.

توجد اختلافات في الترتيب: يختلف ترتيب وسائل النقل في المصفوفات (["internal", "hybrid"] مقابل ["hybrid", "internal"]) باختلاف المنصة وتنفيذ أداة المصادقة ولكنه لا يحمل أي اختلاف وظيفي - يشير كلاهما إلى دعم طرق النقل نفسها.

المصطلحات القديمة: يظهر معرف النقل cable من حين لآخر في عمليات التنفيذ القديمة وهو مرادف لـ hybrid (caBLE = cloud-assisted Bluetooth Low Energy، وهو الاسم الأصلي للنقل الهجين).

يعزز هذا التوزيع أهمية التعامل الصحيح مع وسائل النقل internal و hybrid، حيث إنها تمثل الغالبية العظمى من عمليات تنفيذ مفاتيح المرور في العالم الحقيقي.

يوضح توفر وسائل النقل ما تبلغ عنه أدوات المصادقة، وليس ما إذا كان المسار الناتج سيكتمل. يقيس تحليل إكمال المصادقة عبر الأجهزة في Corbado Passkey Benchmark 2026 معدل إكمال النقل من نوع hybrid في الربع الأول من عام 2026 بنسبة تتراوح بين 60-78% على متصفحات الويب في نظام Windows و66-86% على متصفحات الويب في نظام macOS إجمالاً، وينقسم إلى 79-98% (Win) / 83-98% (macOS) لتنبيهات الجهاز نفسه مقابل 52-67% (Win) / 59-76% (macOS) للمسارات التي تعتمد على المعرّف أولاً. يجب التعامل مع وسيلة النقل hybrid على أنها الأعلى تكلفة في منطق التوجيه وتفضيل المسارات التي تُبقي المستخدم على الجهاز الذي يحتوي على بيانات الاعتماد.

غالبًا ما تُبلغ أداة المصادقة نفسها عن أنماط نقل مختلفة بناءً على المنصة والإصدار وسياق التنفيذ. هذا الاختلاف طبيعي ومتوقع:

تُظهر iCloud Keychain ثلاثة أنماط:

• ["internal", "hybrid"] - الأكثر شيوعًا، وعادةً ما يكون من متصفحات الويب
• [] (مصفوفة فارغة) - شائع جدًا، من تطبيقات iOS الأصلية
• ["hybrid", "internal"] - أقل شيوعًا، اختلاف في الترتيب
• ["internal"] أو ["hybrid"] فقط - حالات فردية نادرة

يُظهر Google Password Manager الاختلاف الأكبر:

• ["hybrid", "internal"] - النمط الأكثر شيوعًا
• ["internal", "hybrid"] - ترتيب بديل شائع
• ["internal", "cable"] - التطبيقات القديمة (cable = مصطلح قديم للهجين)
• [] (مصفوفة فارغة) - من سياقات تطبيقات أصلية معينة
• وسائل نقل مفردة نادرًا

Windows Hello هو الأكثر اتساقًا:

• ["internal"] - النمط السائد (مرتبط بالجهاز حسب التصميم)‚

يُظهر مديرو كلمات المرور مثل 1Password و Bitwarden و Dashlane و LastPass جميعهم أنماط اختلاف متشابهة:

• كلا الترتيبين ["internal", "hybrid"] و ["hybrid", "internal"]
• المصفوفات الفارغة [] من سياقات التطبيق الأصلية
• أحيانًا ["internal"] فقط

يستخدم Samsung Pass (في نظام Android) بشكل أساسي:

• ["hybrid", "internal"] و ["internal", "hybrid"] - كلا الترتيبين شائعان

اختلافات المنصات: تتصرف أداة المصادقة نفسها بشكل مختلف على متصفحات الويب مقابل التطبيقات الأصلية، أو iOS مقابل Android، أو Windows مقابل macOS.

تطور الإصدارات: تطور الإبلاغ عن وسائل النقل بمرور الوقت. قد تستخدم الإصدارات الأقدم cable بدلاً من hybrid، أو تُبلغ عن تركيبات مختلفة.

خيارات التنفيذ: تُعطي بعض أدوات المصادقة الأولوية لـ internal أولاً، وأخرى لـ hybrid. الترتيب ليس له تأثير وظيفي ولكنه يختلف باختلاف التنفيذ.

حساسية السياق: غالبًا ما تتلقى التطبيقات الأصلية، خاصة على نظام iOS، مصفوفات فارغة حتى من أدوات المصادقة التي تبلغ عن وسائل نقل كاملة في سياقات الويب.

الخلاصة الأساسية: لا تفترض أن مصفوفات النقل ستكون متسقة لأداة مصادقة معينة. صمم تنفيذك للتعامل مع جميع الاختلافات بسلاسة، مع التركيز على وجود وسائل نقل محددة بدلاً من مطابقة المصفوفة بدقة.

يواجه المطورون خيارًا: إما اتباع المواصفات بدقة، أو تحسين وسائل النقل الداخلية والهجينة من أجل تجربة المستخدم. كل نهج له مزاياه وعيوبه.

يتوافق هذا النهج مع مواصفات WebAuthn: استخدم وسائل النقل تمامًا كما يتم توفيرها بواسطة أداة المصادقة أثناء تسجيل بيانات الاعتماد، وأرسلها مرة أخرى دون تغيير أثناء المصادقة.

التنفيذ: عند إنشاء مفتاح مرور، احتفظ بمصفوفة transports من استجابة أداة المصادقة. أثناء المصادقة، قم بتضمين وسائل النقل الدقيقة هذه في قائمة allowCredentials:

{
    "allowCredentials": [
        {
            "id": "credential-id-base64",
            "type": "public-key",
            "transports": ["internal", "hybrid"]
        }
    ]
}

المزايا:

• الامتثال للمواصفات: يتبع معايير WebAuthn بدقة، مما يضمن التوافق مع تحديثات المنصات المستقبلية
• موثوقية مفاتيح الأمان: يعمل بشكل مثالي مع مفاتيح الأمان المادية (مثل YubiKeys وما إلى ذلك) التي توفر دائمًا معلومات نقل دقيقة
• منع الخيارات غير الصالحة: يتجنب تقديم طرق مصادقة غير مدعومة حقًا - على سبيل المثال، لن يؤدي إلى ظهور رموز الاستجابة السريعة (QR) لبيانات اعتماد Windows Hello

العيوب:

• سلوك المصفوفة الفارغة في iOS: تُرجع أدوات المصادقة الخاصة بالمنصة على iOS مصفوفات نقل فارغة، مما يشير إلى أن معلومات النقل غير متوفرة - وقد تفسر المنصات ذلك بشكل مختلف عند تحديد خيارات المصادقة التي يجب إظهارها
• قد يظهر خيارات غير مرغوب فيها: يمكن أن يقدم خيارات مفتاح الأمان (USB, NFC) في تطبيقات المستهلك حيث لا يُتوقع وجودها
• تجربة مستخدم غير متسقة: تقدم المنصات المختلفة خيارات مصادقة مختلفة للحساب نفسه

الأفضل لـ: التطبيقات التي تعطي الأولوية للامتثال للمعايير، بيئات المؤسسات ذات الأنواع المتنوعة لأدوات المصادقة.

يُعطي هذا النهج الأولوية لتجربة المستخدم من خلال تعديل وسائل النقل الداخلية والهجينة بشكل انتقائي بناءً على أهداف تحسين محددة. بدلاً من قاعدة شاملة، ضع في اعتبارك سيناريوهات التحسين الشائعة هذه:

المشكلة: تُرجع أدوات المصادقة الخاصة بمنصة iOS مصفوفات نقل فارغة. عند تركها فارغة أو عندما تملأها الواجهات الخلفية، قد يرى المستخدمون مطالبات مفتاح الأمان (USB, NFC) جنبًا إلى جنب مع خيارات المنصة، مما يخلق ارتباكًا في تطبيقات المستهلك.

الحل: قم بتعيين وسائل النقل صراحةً على ["hybrid", "internal"] لأدوات المصادقة الخاصة بمنصة iOS. يضمن ذلك تقديم المصادقة عبر المنصة والمسارات عبر الأجهزة فقط، مع إخفاء خيارات مفتاح الأمان.

// عند حفظ بيانات اعتماد أداة المصادقة الخاصة بمنصة iOS
if (platform === "iOS" && authenticatorAttachment === "platform") {
    transports = ["hybrid", "internal"];
}

النتيجة: واجهة مستخدم مصادقة نظيفة بدون مطالبات بمفتاح أمان لمفاتيح المرور المنشأة على iOS.

المشكلة: عند المصادقة على الأجهزة المحمولة، يؤدي عرض رموز الاستجابة السريعة للمصادقة عبر الأجهزة إلى إنشاء تجربة مستخدم سيئة - فالمستخدمون موجودون بالفعل على جهاز محمول تتوفر فيه مفاتيح المرور الخاصة بهم.

الحل: قم بإزالة وسيلة النقل hybrid عندما يقوم المستخدم بالمصادقة من جهاز محمول، مع ترك ["internal"] فقط.

// عند بناء allowCredentials للمصادقة
const transports = isMobileDevice
    ? credentials.transports.filter((t) => t !== "hybrid")
    : credentials.transports;

النتيجة: يرى مستخدمو الأجهزة المحمولة خيارات المصادقة المباشرة فقط دون مطالبات برمز استجابة سريعة غير ضرورية.

⚠️ تحذير: لا يؤدي التلاعب بوسائل النقل دائمًا إلى نتائج متسقة عبر المنصات. تُظهر الاختبارات المكثفة أن مجموعات المتصفح ونظام التشغيل تتعامل مع وسائل النقل بشكل مختلف:

• تُظهر بعض المنصات رموز الاستجابة السريعة حتى عند استبعاد hybrid من وسائل النقل
• وتخفيها منصات أخرى حتى عند تضمين hybrid
• يختلف السلوك بشكل كبير بين Chrome و Edge و Safari و Firefox عبر أنظمة التشغيل Windows و macOS و iOS

خطر الطرق المسدودة: يمكن أن يؤدي ترشيح وسائل النقل التقييدي المفرط إلى إنشاء طرق مسدودة للمصادقة حيث لا يمكن للمستخدمين تسجيل الدخول على الإطلاق. على سبيل المثال، قد تؤدي إزالة hybrid إلى منع سيناريوهات المصادقة المشروعة عبر الأجهزة حيث يحتاج المستخدم إلى المصادقة من جهاز مستعار. قم دائمًا بتوفير طرق مصادقة احتياطية واختبرها بدقة عبر المنصات المستهدفة قبل نشر تحسينات النقل.

هذه تلميحات للتحسين: توفر WebAuthn آليات أخرى لتحسين تجربة المستخدم للمصادقة بخلاف التلاعب بوسائل النقل - مثل التلميحات (hints).

سلوك النقل غير متوقع: تُظهر المصادقة عبر الأجهزة (CDA) عن طريق وسيلة النقل hybrid سلوكًا غير متسق عبر مجموعات المتصفح ونظام التشغيل. توضح الاختبارات الواقعية أن قيم النقل لا تضمن سلوكًا محددًا لواجهة المستخدم - تُفسر المنصات وسائل النقل وتتعامل معها بشكل مختلف، مما يؤدي إلى نتائج غير متوقعة.

تعقيد المنصات المختلفة: عند التحكم في وسائل النقل بشكل صريح، يجب أن تأخذ في الاعتبار الاختلافات بين المنصات:

• iOS: تُرسل مصفوفات فارغة لأدوات المصادقة الخاصة بالمنصة؛ تتطلب ملأها
• Windows Hello: يجب أن تظل ["internal"] فقط؛ إضافة hybrid تؤدي إلى ظهور رموز استجابة سريعة غير مرغوب فيها
• متصفحات الويب و Android: تقدم معلومات نقل دقيقة بشكل عام
• اختلافات المصادقة عبر الأجهزة (CDA): قد تظهر مطالبات رمز الاستجابة السريعة أو تختفي بغض النظر عن وجود hybrid في مصفوفة وسائل النقل

مطلوب فهم شامل من البداية إلى النهاية: التحكم الصريح في وسائل النقل يعني تحمل المسؤولية عن المسار بأكمله. يجب أن تفهم كيف تتصرف كل تركيبة نقل عبر جميع المنصات المستهدفة لديك واختبارها بدقة. يمكن أن يؤدي التلاعب بوسائل النقل إلى إنشاء طرق مسدودة للمصادقة حيث لا يوجد مسار مصادقة صالح للمستخدمين.

المزايا:

• تجربة مستخدم مخصصة: تحكم بدقة في خيارات المصادقة التي يراها المستخدمون في سياقات محددة
• يحل مشكلة المصفوفة الفارغة في iOS: يحدد صراحة وسائل النقل حيث لا يوفر iOS أيًا منها
• تحسين يعتمد على السياق: تكيف واجهة مستخدم المصادقة بناءً على نوع الجهاز

العيوب:

• سلوك غير متوقع: لا يضمن التلاعب بوسائل النقل سلوكًا متسقًا لواجهة المستخدم - تُظهر الاختبارات المكثفة أن المنصات تُفسر وسائل النقل بشكل مختلف، حيث تظهر أحيانًا خيارات أو تخفيها بغض النظر عن قيم النقل
• خطر وجود طرق مسدودة للمصادقة: يمكن أن يمنع الترشيح التقييدي المفرط لوسائل النقل المستخدمين من المصادقة تمامًا، خاصة في سيناريوهات الأجهزة المتعددة
• الانحراف عن المواصفات: يبتعد عن توصيات المواصفات، مما قد يتسبب في حدوث مشكلات مع تغييرات المنصة المستقبلية
• عبء الصيانة: يتطلب منطقًا وتحديثات مستمرة خاصة بالمنصة مع تطور المنصات
• التعقيد: يجب التعامل مع المصفوفات الفارغة في iOS، وقيود Windows Hello، ومراوغات المنصات الأخرى يدويًا
• أعباء الاختبار الإضافية: تحتاج كل قاعدة تحسين إلى التحقق عبر جميع تركيبات المنصات

الأفضل لـ: تطبيقات المستهلك ذات متطلبات تجربة المستخدم المحددة، والفرق التي تمتلك الموارد للحفاظ على المنطق الخاص بالمنصة، والسيناريوهات التي تعطي الأولوية لمسارات المصادقة المبسطة على الامتثال الصارم للمواصفات.

لا يعمل التعامل مع وسائل نقل WebAuthn بمعزل عن غيره - إنه جزء واحد من استراتيجية التنفيذ الشاملة لمفاتيح المرور الخاصة بك. يبرز نهجان شائعان في عمليات النشر في بيئات الإنتاج، لكل منهما آثار مختلفة على استخدام وسائل النقل الداخلية والهجينة.

يُعطي هذا النهج الأولوية للمرونة والامتثال للمعايير، مما يسمح للمستخدمين بالمصادقة باستخدام أي أداة مصادقة متوافقة.

خصائص التنفيذ:

• واجهة مستخدم المصادقة: يظهر زر مفتاح المرور جنبًا إلى جنب مع خيارات تسجيل الدخول الحالية (اسم المستخدم/كلمة المرور)
• allowCredentials: معينة على مصفوفة فارغة []، مما يسمح بمطابقة أي بيانات اعتماد
• أنواع أدوات المصادقة: يتم دعم مفاتيح الأمان والمصادقة عبر الأجهزة (رموز الاستجابة السريعة) وأدوات المصادقة الخاصة بالمنصة
• متطلبات التطبيق الأصلي: يجب أن يدعم جميع طرق المصادقة، بما في ذلك مفاتيح الأمان
• preferImmediatelyAvailableCredentials: لا يمكن استخدامها، لأنها تستبعد مفاتيح الأمان وتسجيلات الدخول برمز الاستجابة السريعة بحكم تعريفها
• التعامل مع وسائل النقل: يجب أن يستوعب جميع أنواع وسائل النقل، بما في ذلك وسائل نقل مفتاح الأمان (usb, nfc, ble)

الآثار المترتبة على وسائل النقل:

مع ترك قائمة allowCredentials فارغة، تصبح وسائل النقل أقل أهمية أثناء المصادقة - تُظهر المنصة جميع الخيارات المتاحة. ومع ذلك، هذا يعني أن المستخدمين قد يرون مطالبات مفتاح الأمان ورموز الاستجابة السريعة وخيارات المنصة في وقت واحد، مما قد يؤدي إلى شلل في اتخاذ القرار في تطبيقات المستهلك.

الأفضل لـ: بيئات المؤسسات، التطبيقات ذات قواعد المستخدمين المتنوعة التي تتطلب دعم مفاتيح الأمان، السيناريوهات التي تعطي الأولوية لأقصى قدر من مرونة المصادقة.

يُحسن هذا النهج تجربة المستخدم للمستهلكين عن طريق تقييد إنشاء مفتاح المرور على أدوات المصادقة الخاصة بالمنصة واستخدام المسارات التي تعتمد على المعرّف أولاً.

خصائص التنفيذ:

• إنشاء مفتاح المرور: تستخدم التنبيهات التي يبدأها المستخدم (مطالبات ما بعد تسجيل الدخول، مسارات الإنشاء التلقائية) authenticatorAttachment: "platform" للتركيز على أدوات المصادقة المتاحة فورًا
• دعم مفاتيح الأمان: متوفر عبر إعدادات حساب الويب دون تقييد authenticatorAttachment، مما يسمح للمستخدمين المتقدمين باختيار أي أداة مصادقة بما في ذلك مفاتيح الأمان
• مسار المصادقة: المعرّف أولاً - يُدخل المستخدمون البريد الإلكتروني/اسم المستخدم قبل المصادقة
• allowCredentials: يتم تعبئتها ببيانات الاعتماد الخاصة بالمستخدم (ليست فارغة) بمجرد معرفة المعرّف
• أنواع أدوات المصادقة: تُعطى الأولوية لأدوات المصادقة الخاصة بالمنصة والمصادقة عبر الأجهزة؛ بينما يتم دعم مفاتيح الأمان ولكن لا يتم الترويج لها في المسارات الأساسية
• تحسين التطبيق الأصلي: يستخدم preferImmediatelyAvailableCredentials للمصادقة الصامتة والفورية دون مطالبات بمفاتيح الأمان أو رموز الاستجابة السريعة
• المصادقة عبر الأجهزة: متوفرة على الويب؛ ويتم استبعادها عمدًا في التطبيقات الأصلية عند استخدام preferImmediatelyAvailableCredentials (غالبًا ما يقوم المستخدمون بالمصادقة على الجهاز حيث توجد مفاتيح المرور الخاصة بهم)
• التعامل مع وسائل النقل: التركيز الأساسي على وسائل النقل internal و hybrid

الآثار المترتبة على وسائل النقل:

نظرًا لأن قائمة allowCredentials تحتوي على بيانات اعتماد محددة مع وسائل النقل الخاصة بها، يصبح التعامل مع وسائل النقل أمرًا بالغ الأهمية لتحسين تجارب المصادقة.

حقيقة مفاتيح الأمان: تمثل مفاتيح الأمان جزءًا صغيرًا جدًا من استخدام مفاتيح المرور في عمليات النشر الاستهلاكية واسعة النطاق - بشكل أساسي للمستخدمين المتقدمين أو المستخدمين ذوي متطلبات أمان محددة. يقر النهج المصمم للمستهلك بهذه الحقيقة من خلال دعم مفاتيح الأمان دون تحسين المسارات الأساسية حولها.

استراتيجية الإنشاء ذات المستويين: يمكن أن توازن عمليات التنفيذ بين توافق مفاتيح الأمان وتجربة مستخدم المُستهلك المحسنة من خلال مسارات إنشاء مزدوجة:

• تنبيهات ومطالبات المستخدم: تستخدم مطالبات ما بعد تسجيل الدخول ومسارات الإنشاء التلقائية authenticatorAttachment: "platform"، لتوجيه المستخدمين نحو مفاتيح المرور المتاحة فورًا ذات معدلات النجاح العالية
• إعدادات حساب الويب: تتيح الإنشاء بدون authenticatorAttachment، مما يسمح للمستخدمين المتقدمين باختيار مفاتيح الأمان أو مديري كلمات المرور لجهات خارجية أو أي أداة مصادقة متاحة

يظهر هذا النمط في عمليات التنفيذ الرئيسية: مفاتيح الأمان مدعومة وتعمل من خلال الإعدادات، ولكن التنبيهات الموجهة للمستخدم تم تحسينها لحالة الاستخدام المهيمنة - أدوات المصادقة الخاصة بالمنصة التي توفر مصادقة فورية وصامتة.

الأفضل لـ: تطبيقات المستهلك، وتطبيقات الهاتف المحمول الأصلية، والسيناريوهات التي تُعطي الأولوية لتجربة المستخدم المبسطة على مرونة أداة المصادقة، والمنصات حيث توجد بالفعل مسارات تعتمد على المعرّف أولاً.

بالنسبة للمنصات التي تسرّب بالفعل معلومات حول وجود حساب أو تستخدم مسارات تعتمد على المعرّف أولاً (يدخل المستخدم البريد الإلكتروني قبل رؤية خيارات تسجيل الدخول)، فإن النهج المصمم للمستهلكين يتوافق معها بشكل طبيعي. بمجرد أن يقدم المستخدم المعرّف الخاص به:

1. تستعلم الواجهة الخلفية عن مفاتيح المرور الحالية
2. تُرجع allowCredentials مع بيانات اعتماد محددة ووسائل النقل الخاصة بها
3. يمكن للمنصة تحسين واجهة مستخدم المصادقة بناءً على وسائل النقل
4. لا يوجد خطر إضافي يتمثل في تعداد الحسابات (تم توفير المعرّف بالفعل)

في هذه السيناريوهات، يمكن أن تصبح وسائل النقل أداة تحسين بدلاً من كونها مصدر قلق أمني. يمكنك تخصيص خيارات المصادقة بناءً على سياق الجهاز (هاتف محمول مقابل سطح المكتب) وقدرات بيانات الاعتماد.

توصية: بالنسبة للمنصات التي تستخدم بالفعل مسارات تعتمد على المعرّف أولاً أو حيث لا يمثل تعداد الحسابات مصدر قلق، يوفر النهج المصمم للمستهلكين مع التحكم الصريح في وسائل النقل تجربة مستخدم فائقة، خاصة في تطبيقات الهاتف المحمول الأصلية حيث يتيح خيار preferImmediatelyAvailableCredentials مصادقة بيومترية سلسة.

بغض النظر عن النهج الذي تختاره للتعامل مع وسائل النقل الداخلية والهجينة، اتبع هذه الممارسات لتقليل المشكلات:

الاحتفاظ بوسائل النقل أثناء التسجيل: احفظ دائمًا مصفوفة transports من استجابة أداة المصادقة إلى جانب معرّف بيانات الاعتماد والمفتاح العام. هذه البيانات ضرورية لمسارات المصادقة.

التعامل مع المصفوفات الفارغة بسلاسة: عند تلقي مصفوفة نقل فارغة من أدوات المصادقة الخاصة بمنصة iOS:

• النهج المطابق للمواصفات: اتركها فارغة أو احذف خاصية النقل - وهذا يشير إلى أن معلومات النقل غير متوفرة؛ وستحدد المنصات الخيارات المتاحة
• نهج التحسين: املأها بـ ["internal", "hybrid"] للتحكم في خيارات المصادقة التي تظهر

استراتيجيات النقل على الويب مقابل التطبيقات الأصلية: ميّز بين التعامل مع وسائل النقل بناءً على السياق:

• المصادقة عبر الويب: قم بتضمين جميع وسائل النقل، مما يسمح بدعم أوسع لأداة المصادقة بما في ذلك مفاتيح الأمان عبر USB/NFC
• المصادقة في التطبيقات الأصلية: استخدم preferImmediatelyAvailableCredentials للمصادقة الصامتة؛ تُرسل وسائل النقل كما هي مخزنة
• صفحات الإعدادات/الإدارة: دعم جميع أنواع أدوات المصادقة للمستخدمين المتقدمين

التعامل مع مصادقة مفتاح الأمان: عندما يمتلك المستخدمون مفاتيح أمان مسجلة:

• الويب: اكتشف وسائل نقل مفتاح الأمان في بيانات الاعتماد المخزنة وتأكد من أن مسارات المصادقة يمكن أن تستوعبها
• التطبيقات الأصلية: فكر في توفير طرق مصادقة بديلة أو توجيه المستخدمين إلى الويب لمصادقة مفتاح الأمان
• النهج الهجين: تعمل التطبيقات الأصلية على التحسين لأدوات المصادقة الخاصة بالمنصة بينما يدعم الويب المرونة الكاملة لأدوات المصادقة

الاختبار عبر جميع المنصات المستهدفة: قم بإنشاء مصفوفة اختبار تغطي جميع المجموعات:

• التسجيل: الويب، تطبيقات iOS الأصلية، تطبيقات Android الأصلية
• المصادقة: الويب، تطبيقات iOS الأصلية، تطبيقات Android الأصلية
• تحقق من أن المصادقة الصامتة تعمل مع preferImmediatelyAvailableCredentials
• تأكد من أن مفاتيح الأمان تعمل في مسارات الإعدادات بدون authenticatorAttachment
• تحقق من ظهور رموز الاستجابة السريعة في السياقات المناسبة فقط

فهم دلالات النقل: تعرف على الاختلافات بين قيم النقل الفارغة والمفقودة:

• مصفوفة وسائل نقل فارغة []: تشير إلى أن معلومات النقل غير متوفرة أو محجوبة للخصوصية. قد يوفر وكلاء المستخدم تسلسلات فارغة عندما لا يمكنهم أو يختارون عدم الإبلاغ عن إمكانيات النقل. هذا لا يعادل "دعم جميع وسائل النقل" - تعامل معها على أنها تلميحات حيث تكون المعلومات غير متاحة.
• خاصية النقل مفقودة: عند حذف وسائل النقل من واصفات بيانات الاعتماد، يحدد وكلاء المستخدم طرق المصادقة المتاحة بناءً على عوامل أخرى. السياق مهم: تختلف الآثار المترتبة في استجابات التسجيل مقابل خيارات طلب المصادقة.
• تلميحات النقل: وفقًا للمواصفات، يجب التعامل مع وسائل النقل كتلميحات لمساعدة وكلاء المستخدم على تحسين واجهة مستخدم المصادقة، وليس كضمانات موثوقة للقدرات.

مراقبة تغييرات المنصات: تتطور تطبيقات WebAuthn. تقوم شركات Apple و Google و Microsoft بتحديث سلوكيات أدوات المصادقة الخاصة بها بانتظام. كن على اطلاع دائم بالتغييرات التي قد تؤثر على التعامل مع وسائل النقل.

تُعد وسائل نقل WebAuthn - خاصة وسائل النقل الداخلية والهجينة - تفاصيل تقنية ذات تأثير عملي كبير على المصادقة عبر الأجهزة. يجب أن تتوافق استراتيجية التعامل مع النقل الخاصة بك مع نهج التنفيذ الأوسع لمفاتيح المرور والمنصات المستهدفة.

قرارات النقل تقع ضمن استراتيجية أوسع: يعتمد كيفية تعاملك مع وسائل النقل على ما إذا كنت تبني لتحقيق أقصى قدر من المرونة (allowCredentials فارغة) أو تجربة مستخدم المستهلك (المعرّف أولاً مع بيانات اعتماد محددة). هذا الأخير يجعل وسائل النقل حاسمة للتحسين.

الاختلافات في المنصات تتطلب المعالجة: توفر متصفحات الويب ونظام Android معلومات نقل موثوقة، بينما تُرجع أدوات المصادقة الخاصة بمنصة iOS مصفوفات فارغة. بينما يرسل Windows Hello ["internal"] فقط. فهم هذه الاختلافات أمر ضروري للنشر في بيئات الإنتاج.

نهجان صحيحان للنقل: العمل بما يطابق المواصفات (الوثوق بوسائل نقل أداة المصادقة) يعمل بشكل جيد مع الشركات وسيناريوهات المرونة القصوى. بينما يناسب التحكم الصريح (تحسين النقل) تطبيقات المستهلكين ذات مسارات المصادقة التي تعتمد على المعرّف أولاً وتطبيقات الهاتف المحمول الأصلية.

يتيح المعرّف أولاً تحسين النقل: عندما يقدم المستخدمون معرّفهم أولاً، يصبح التعامل مع وسائل النقل أداة قوية لتجربة المستخدم. يمكنك منع رموز الاستجابة السريعة غير المرغوب فيها على الهاتف المحمول، وإخفاء خيارات مفتاح الأمان، وتبسيط المصادقة - دون مخاوف إضافية تتعلق بتعداد الحسابات.

للمؤسسات / أقصى مرونة:

• استخدم allowCredentials فارغة لدعم جميع أنواع أدوات المصادقة
• ثق بوسائل النقل المقدمة من أداة المصادقة
• اقبل أن يرى المستخدمون المزيد من خيارات المصادقة
• تنفيذ أبسط وتوافق أوسع

لتطبيقات المستهلكين / التطبيقات الأصلية:

• تنفيذ مسار المصادقة الذي يعتمد على المعرّف أولاً
• تنبيهات المستخدم (بعد تسجيل الدخول، المطالبات التلقائية): استخدم authenticatorAttachment: "platform" للمصادقة الفورية ذات معدل النجاح العالي
• إعدادات حساب الويب: السماح بالإنشاء بدون authenticatorAttachment للمستخدمين المتقدمين الذين يحتاجون إلى مفاتيح أمان
• استخدم allowCredentials مع بيانات اعتماد محددة ووسائل نقل محسّنة
• التطبيقات الأصلية: قم بتمكين preferImmediatelyAvailableCredentials للمصادقة الصامتة
• املأ مصفوفات iOS الفارغة بـ ["hybrid", "internal"]
• المصادقة عبر الويب: ادعم جميع وسائل النقل بما في ذلك مفاتيح الأمان
• قم بتصفية hybrid على الأجهزة المحمولة لمنع رموز الاستجابة السريعة عند الاقتضاء
• تجربة مستخدم فائقة مع خيارات مصادقة مبسطة مع الحفاظ على التوافق

للمنصات التي لديها مسارات تعتمد على المعرّف أولاً بالفعل:

• تعداد الحسابات لم يعد يمثل مشكلة
• يتوافق النهج المصمم للمستهلكين بشكل طبيعي مع تجربة المستخدم الحالية
• يوفر تحسين النقل فوائد فورية لتجربة المستخدم
• النهج الموصى به لمعظم تطبيقات المستهلكين

ابدأ بالتوافق مع المواصفات، ثم قم بالتحسين بناءً على استراتيجيتك:

1. احتفظ بوسائل النقل تمامًا كما وردت أثناء التسجيل
2. حدد استراتيجيتك العامة (أقصى مرونة مقابل مصممة للمستهلكين)
3. إذا كانت مصممة للمستهلكين: قم بتنفيذ مسار يعتمد على المعرّف أولاً وقم بتحسين وسائل النقل
4. تعامل مع المصفوفات الفارغة في iOS بشكل مناسب للاستراتيجية التي اخترتها
5. اختبر بدقة عبر منصات الويب وتطبيقات iOS الأصلية وتطبيقات Android الأصلية

تستمر بيئة WebAuthn في التطور. يقوم بائعو المنصات بتحديث عمليات التنفيذ الخاصة بهم بانتظام، وتقدم مواصفات مثل WebAuthn Level 3 إمكانيات جديدة. يضمن بناء أنظمة مرنة تتوافق مع معالجة النقل واستراتيجية المصادقة الأوسع الخاصة بك أن يظل تنفيذ مفتاح المرور الخاص بك قويًا ويوفر تجارب مستخدم ممتازة مع نضوج النظام البيئي.

حول Corbado

Corbado هي Passkey Intelligence Platform لفِرَق CIAM التي تُدير المصادقة الاستهلاكية على نطاق واسع. نُمكّنك من رؤية ما لا تستطيع سجلات IDP وأدوات التحليل العامة إظهاره: أي الأجهزة وإصدارات أنظمة التشغيل والمتصفحات ومديري بيانات الاعتماد تدعم passkeys، ولماذا لا تتحوّل عمليات التسجيل إلى عمليات دخول، وأين يفشل تدفق WebAuthn، ومتى يُعطّل تحديث نظام التشغيل أو المتصفح تسجيل الدخول بصمت — كل ذلك دون استبدال Okta أو Auth0 أو Ping أو Cognito أو IDP الداخلي لديك. منتجان: Corbado Observe يُضيف observability للـ passkeys وأي طريقة دخول أخرى. Corbado Connect يُقدّم managed passkeys مع تحليلات مدمجة (إلى جانب IDP الخاص بك). تُشغّل VicRoads passkeys لأكثر من 5 ملايين مستخدم مع Corbado (تفعيل passkey بنسبة +80%). تحدث مع خبير Passkey →

تحتجب خدمة iOS AuthenticationServices معلومات النقل الخاصة بأدوات المصادقة الخاصة بالمنصة مثل iCloud Keychain، مما يُرجع مصفوفات فارغة وفقًا لأحكام الخصوصية الخاصة بمواصفات WebAuthn. وتوفر مفاتيح الأمان على نظام iOS بيانات النقل مثل ["usb"] أو ["nfc"]. ويجب على الأطراف المعتمدة التعامل مع جميع وسائل النقل كتلميحات بدلاً من كونها ضمانات موثوقة للقدرة.

يعد cable مصطلحًا قديمًا مرادفًا لـ hybrid، ويرمز إلى (cloud-assisted Bluetooth Low Energy). وكلاهما يصف المصادقة عبر الأجهزة مثل مسح رمز الاستجابة السريعة لمصادقة جلسة على سطح المكتب باستخدام هاتف. أما hybrid فهو المصطلح الحالي الذي تم تقديمه في WebAuthn Level 3 ويجب استخدامه في عمليات التنفيذ الجديدة.

بالنسبة لتطبيقات المستهلكين التي تستخدم المسارات التي تعتمد على المعرّف أولاً، قم بتعيين وسائل النقل صراحةً على ["hybrid", "internal"] لأدوات المصادقة الخاصة بمنصة iOS والتي تُرجع مصفوفات فارغة أثناء التسجيل. حيث يمنع ذلك مطالبات مفتاح الأمان عبر USB و NFC من الظهور في واجهة مستخدم المصادقة. ويتمثل البديل المتوافق مع المواصفات في ترك المصفوفات فارغة أو حذف خاصية النقل تمامًا.

تؤدي إزالة وسيلة النقل hybrid على الأجهزة المحمولة إلى منع مطالبات رمز الاستجابة السريعة (QR) عندما يكون المستخدمون بالفعل على جهاز تتوفر فيه مفاتيح المرور الخاصة بهم. ومع ذلك، فإن التلاعب في النقل يؤدي إلى نتائج غير متسقة: فبعض المنصات تُظهر رموز الاستجابة السريعة حتى عند استبعاد hybrid، وبعضها الآخر يخفيها بغض النظر عن ذلك. لذا، قم دائمًا بالاختبار عبر المنصات المستهدفة ووفر طرق مصادقة احتياطية لتجنب الوصول إلى طرق مسدودة.

تدعم مصفوفة allowCredentials الفارغة جميع أنواع أدوات المصادقة بما في ذلك مفاتيح الأمان والمصادقة عبر الأجهزة، ولكنها تقلل من أهمية النقل وقد تعرض للمستخدمين خيارات متعددة في وقت واحد. في حين أن ملئها ببيانات اعتماد محددة للمستخدم يجعل التعامل مع النقل أمرًا بالغ الأهمية لتحسين واجهة المستخدم، مما يتيح للمسارات التي تعتمد على المعرّف أولاً إخفاء رموز الاستجابة السريعة على الأجهزة المحمولة وإخفاء مطالبات مفتاح الأمان في سياقات المستهلك.