Что такое authenticatorSelection в WebAuthn?

Q: Какую функцию выполняет authenticatorSelection в WebAuthn?

`authenticatorSelection` в WebAuthn позволяет доверяющим сторонам указывать тип аутентификаторов, подходящих для их процесса аутентификации, включая требование к проверке пользователя и тип аутентификатора.

Q: Каковы последствия настройки authenticatorAttachment в authenticatorSelection?

Настройка `authenticatorAttachment` в `authenticatorSelection` определяет, требуется ли фиксированный платформенный аутентификатор или съемный кросс-платформенный аутентификатор, что влияет на физические и функциональные характеристики процесса аутентификации.

Эта страница переведена автоматически. Прочитайте оригинальную версию на английском здесь.

Что такое authenticatorSelection?#

В WebAuthn authenticatorSelection — это важная часть объекта PublicKeyCredentialCreationOptions. Эта функция позволяет доверяющим сторонам (RP) задавать критерии для выбора подходящих аутентификаторов во время операции create(). Его важность заключается в следующем:

Определение требований к аутентификатору: Указывает тип аутентификаторов, которые могут участвовать в процессе регистрации.
Привязка аутентификатора: Определяет, является ли аутентификатор платформенным (например, Face ID, Touch ID, Windows Hello) или кросс-платформенным (переносимым) аутентификатором.
Проверка пользователя: Устанавливает требование к проверке пользователя (например, «preferred», «required» или «discouraged»).

Пример:#

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Далее мы разберем возможные значения и конфигурации authenticatorSelection.

Ключевые моменты#

authenticatorSelection задает требования к выбору аутентификаторов в WebAuthn.
Он включает в себя способ привязки аутентификатора и требования к проверке пользователя.
Повышает безопасность, позволяя точно контролировать процесс аутентификации.

authenticatorSelection в WebAuthn необходим для того, чтобы процесс аутентификации соответствовал конкретным требованиям безопасности и предпочтениям пользователя. Он дает доверяющим сторонам гибкость в настройке процесса регистрации в соответствии с их потребностями в безопасности.

Вот обзор возможных значений, указанных в спецификации WebAuthn:

authenticatorAttachment#

Возможные значения:

Platform: Аутентификатор привязан к платформе клиента и поэтому не является съемным.
Cross-platform: Аутентификатор не привязан к платформе клиента и может использоваться на нескольких устройствах.

residentKey#

Это значение указывает, хочет ли доверяющая сторона создать обнаруживаемые учетные данные. Возможные значения:

required: Аутентификатор должен создать резидентный ключ, и операция должна завершиться неудачей, если это невозможно.
preferred: Аутентификатор должен попытаться создать резидентный ключ и создать нерезидентный ключ, если это невозможно.
discouraged: Аутентификатор должен создать нерезидентный ключ, и операция должна завершиться неудачей, если это невозможно.

requireResidentKey#

Это значение используется только для обратной совместимости с WebAuthn уровня 1 и устанавливается в «true», если для residentKey задано значение «required».

Подпишитесь на наш Passkeys Substack, чтобы получать новости.

userVerification#

Это значение указывает, требуется ли проверка пользователя для выполнения операции. Возможные значения:

required: Операция должна проверять пользователя.
preferred: Операция должна попытаться проверить пользователя, но может продолжаться и без этого (стандартное значение).
discouraged: Операция не должна проверять пользователя.

Внимание: Если установлено значение «preferred», аутентификатор может пропустить проверку пользователя в процессе аутентификации. Подробнее об этой проблеме читайте в этой статье.

Часто задаваемые вопросы об authenticatorSelection#

Какую функцию выполняет authenticatorSelection в WebAuthn?#

authenticatorSelection в WebAuthn позволяет доверяющим сторонам указывать тип аутентификаторов, подходящих для их процесса аутентификации, включая требование к проверке пользователя и тип аутентификатора.

Как authenticatorSelection влияет на пользовательский опыт при аутентификации?#

Он влияет на пользовательский опыт, определяя тип используемого аутентификатора (платформенный или переносимый) и устанавливая уровень проверки пользователя, тем самым влияя на простоту и безопасность процесса аутентификации.

Экспериментируйте с passkey-флоу в Passkeys Debugger.

Попробовать бесплатно

Каковы последствия настройки authenticatorAttachment в authenticatorSelection?#

Настройка authenticatorAttachment в authenticatorSelection определяет, требуется ли фиксированный платформенный аутентификатор или съемный кросс-платформенный аутентификатор, что влияет на физические и функциональные характеристики процесса аутентификации.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →