WebAuthn 中的 authenticatorSelection 是什么？

Q: authenticatorSelection 中的 authenticatorAttachment 设置有什么影响？

authenticatorSelection 中的 authenticatorAttachment 设置规定了是需要固定的平台认证器还是可移除的跨平台认证器，这会影响认证过程的物理和功能特性。

authenticatorSelection 是什么？#

在 WebAuthn 中，authenticatorSelection 是 PublicKeyCredentialCreationOptions 对象的一个重要组成部分。该功能使信赖方 (RP) 能够在 create() 操作期间指定选择合适认证器的标准。其重要性在于：

定义认证器要求： 规定了可以参与注册过程的认证器类型。
认证器附加方式： 决定认证器是平台认证器（例如 Face ID、Touch ID、Windows Hello）还是跨平台（漫游）认证器。
用户验证： 设置用户验证的要求（例如，“preferred”、“required”或“discouraged”）。

示例：#

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

继续阅读，了解 authenticatorSelection 的可能值和配置的详细信息。

核心要点#

authenticatorSelection 用于在 WebAuthn 中指定选择认证器的要求。
它包括认证器的附加方式和用户验证要求。
通过精确控制认证过程来增强安全性。

WebAuthn 中的 authenticatorSelection 对于确保认证过程符合特定的安全要求和用户体验偏好至关重要。它为信赖方提供了根据其安全需求定制注册过程的灵活性。

以下是 WebAuthn 规范中指定的可能值的概述：

authenticatorAttachment#

可能的值：

Platform： 认证器附加在客户端的平台上，因此不可移除。
Cross-platform： 认证器不与客户端的平台绑定，可以在多个设备上使用。

residentKey#

此值指定信赖方是否希望创建可发现凭证。可能的值是：

required： 认证器必须创建驻留密钥，如果无法创建，操作应失败。
preferred： 认证器应尝试创建驻留密钥，如果无法创建，则应创建非驻留密钥。
discouraged： 认证器必须创建非驻留密钥，如果无法创建，操作应失败。

requireResidentKey#

此值仅用于与 WebAuthn 级别 1 的向后兼容，如果 residentKey 设置为 "required"，则此值设置为 "true"。

订阅我们的 Passkeys Substack，获取最新消息。

userVerification#

此值表示操作是否需要用户验证。可能的值是：

required： 操作必须验证用户。
preferred： 操作应验证用户，但也可以在没有验证的情况下继续（标准值）。
discouraged： 操作不应验证用户。

警告： 如果设置为 "preferred"，认证器可能会在认证过程中跳过用户验证。请在这篇文章中阅读有关此问题的更多信息。

authenticatorSelection 常见问题解答#

在 WebAuthn 中，authenticatorSelection 有什么作用？#

WebAuthn 中的 authenticatorSelection 允许信赖方指定适合其认证过程的认证器类型，包括对用户验证的要求和认证器的类型。

authenticatorSelection 如何影响认证中的用户体验？#

它通过确定所用认证器的类型（平台或漫游）并设置用户验证的级别来影响用户体验，从而影响认证过程的便捷性和安全性。

在 Passkeys Debugger 中体验 passkey 流程。

免费试用

authenticatorSelection 中的 authenticatorAttachment 设置有什么影响？#

The authenticatorAttachment setting in authenticatorSelection dictates whether a fixed platform authenticator or a removable cross-platform authenticator is required, affecting the physical and functional characteristics of the authentication process.

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →