Qu'est-ce que l'authenticatorSelection dans WebAuthn ?

Dans WebAuthn, authenticatorSelection est une partie importante de l'objet PublicKeyCredentialCreationOptions. Cette fonctionnalité permet aux Relying Parties (RP) de spécifier des critères pour sélectionner les authentificateurs appropriés lors de l'opération create(). Son importance réside dans les points suivants :

• Définition des exigences de l'authentificateur : Cette option dicte le type d'authentificateurs pouvant participer au processus d'inscription.
• Type d'association de l'authentificateur : Elle détermine si l'authentificateur est de type plateforme (par ex. Face ID, Touch ID, Windows Hello) ou multiplateforme (itinérant).
• Vérification de l'utilisateur : Elle définit l'exigence de vérification de l'utilisateur (par ex. « preferred », « required » ou « discouraged »).

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Poursuivez votre lecture pour une analyse détaillée des valeurs et configurations possibles de authenticatorSelection.

Dans WebAuthn, authenticatorSelection est essentiel pour garantir que le processus d'authentification correspond aux exigences de sécurité et aux préférences d'expérience utilisateur spécifiques. Il offre aux Relying Parties la flexibilité d'adapter le processus d'inscription en fonction de leurs besoins en matière de sécurité.

Voici un aperçu des valeurs possibles, telles que spécifiées dans la spécification WebAuthn :

Valeurs possibles :

• Platform : L'authentificateur est attaché à la plateforme du client et n'est donc pas amovible.
• Cross-platform : L'authentificateur n'est pas lié à la plateforme du client et peut être utilisé sur plusieurs appareils.

Cette valeur spécifie si la Relying Party souhaite créer un identifiant découvrable. Les valeurs possibles sont :

• required : L'authentificateur doit créer une clé résidente et l'opération doit échouer si ce n'est pas possible.
• preferred : L'authentificateur doit essayer de créer une clé résidente et doit créer une clé non résidente si ce n'est pas possible.
• discouraged : L'authentificateur doit créer une clé non résidente et l'opération doit échouer si ce n'est pas possible.

Cette valeur est uniquement utilisée pour la rétrocompatibilité avec WebAuthn niveau 1, étant définie sur « true » si residentKey est défini sur « required ».

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Cette valeur indique si la vérification de l'utilisateur est requise pour l'opération. Les valeurs possibles sont :

• required : L'opération doit vérifier l'utilisateur.
• preferred : L'opération devrait vérifier l'utilisateur, mais peut se poursuivre sans (valeur par défaut).
• discouraged : L'opération ne devrait pas vérifier l'utilisateur.

Attention : Si la valeur est « preferred », l'authentificateur peut ignorer la vérification de l'utilisateur lors du processus d'authentification. Pour en savoir plus sur ce problème, consultez cet article.

Dans WebAuthn, authenticatorSelection permet aux Relying Parties de spécifier le type d'authentificateurs adaptés à leur processus d'authentification, y compris l'exigence de vérification de l'utilisateur et le type d'authentificateur.

Il affecte l'expérience utilisateur en déterminant le type d'authentificateur utilisé (plateforme ou itinérant) et en définissant le niveau de vérification de l'utilisateur, influençant ainsi la facilité et la sécurité du processus d'authentification.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Le paramètre authenticatorAttachment dans authenticatorSelection dicte si un authentificateur de plateforme fixe ou un authentificateur multiplateforme amovible est requis, ce qui affecte les caractéristiques physiques et fonctionnelles du processus d'authentification.