Что такое authenticatorSelection в WebAuthn?

В WebAuthn authenticatorSelection — это важная часть объекта PublicKeyCredentialCreationOptions. Эта функция позволяет доверяющим сторонам (RP) задавать критерии для выбора подходящих аутентификаторов во время операции create(). Его важность заключается в следующем:

• Определение требований к аутентификатору: Указывает тип аутентификаторов, которые могут участвовать в процессе регистрации.
• Привязка аутентификатора: Определяет, является ли аутентификатор платформенным (например, Face ID, Touch ID, Windows Hello) или кросс-платформенным (переносимым) аутентификатором.
• Проверка пользователя: Устанавливает требование к проверке пользователя (например, «preferred», «required» или «discouraged»).

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Далее мы разберем возможные значения и конфигурации authenticatorSelection.

authenticatorSelection в WebAuthn необходим для того, чтобы процесс аутентификации соответствовал конкретным требованиям безопасности и предпочтениям пользователя. Он дает доверяющим сторонам гибкость в настройке процесса регистрации в соответствии с их потребностями в безопасности.

Вот обзор возможных значений, указанных в спецификации WebAuthn:

Возможные значения:

• Platform: Аутентификатор привязан к платформе клиента и поэтому не является съемным.
• Cross-platform: Аутентификатор не привязан к платформе клиента и может использоваться на нескольких устройствах.

Это значение указывает, хочет ли доверяющая сторона создать обнаруживаемые учетные данные. Возможные значения:

• required: Аутентификатор должен создать резидентный ключ, и операция должна завершиться неудачей, если это невозможно.
• preferred: Аутентификатор должен попытаться создать резидентный ключ и создать нерезидентный ключ, если это невозможно.
• discouraged: Аутентификатор должен создать нерезидентный ключ, и операция должна завершиться неудачей, если это невозможно.

Это значение используется только для обратной совместимости с WebAuthn уровня 1 и устанавливается в «true», если для residentKey задано значение «required».

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Это значение указывает, требуется ли проверка пользователя для выполнения операции. Возможные значения:

• required: Операция должна проверять пользователя.
• preferred: Операция должна попытаться проверить пользователя, но может продолжаться и без этого (стандартное значение).
• discouraged: Операция не должна проверять пользователя.

Внимание: Если установлено значение «preferred», аутентификатор может пропустить проверку пользователя в процессе аутентификации. Подробнее об этой проблеме читайте в этой статье.

authenticatorSelection в WebAuthn позволяет доверяющим сторонам указывать тип аутентификаторов, подходящих для их процесса аутентификации, включая требование к проверке пользователя и тип аутентификатора.

Он влияет на пользовательский опыт, определяя тип используемого аутентификатора (платформенный или переносимый) и устанавливая уровень проверки пользователя, тем самым влияя на простоту и безопасность процесса аутентификации.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Настройка authenticatorAttachment в authenticatorSelection определяет, требуется ли фиксированный платформенный аутентификатор или съемный кросс-платформенный аутентификатор, что влияет на физические и функциональные характеристики процесса аутентификации.