WebAuthn 中的 authenticatorSelection 是什么？

在 WebAuthn 中，authenticatorSelection 是 PublicKeyCredentialCreationOptions 对象的一个重要组成部分。该功能使信赖方 (RP) 能够在 create() 操作期间指定选择合适认证器的标准。其重要性在于：

• 定义认证器要求： 规定了可以参与注册过程的认证器类型。
• 认证器附加方式： 决定认证器是平台认证器（例如 Face ID、Touch ID、Windows Hello）还是跨平台（漫游）认证器。
• 用户验证： 设置用户验证的要求（例如，“preferred”、“required”或“discouraged”）。

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

继续阅读，了解 authenticatorSelection 的可能值和配置的详细信息。

WebAuthn 中的 authenticatorSelection 对于确保认证过程符合特定的安全要求和用户体验偏好至关重要。它为信赖方提供了根据其安全需求定制注册过程的灵活性。

以下是 WebAuthn 规范中指定的可能值的概述：

可能的值：

• Platform： 认证器附加在客户端的平台上，因此不可移除。
• Cross-platform： 认证器不与客户端的平台绑定，可以在多个设备上使用。

此值指定信赖方是否希望创建可发现凭证。可能的值是：

• required： 认证器必须创建驻留密钥，如果无法创建，操作应失败。
• preferred： 认证器应尝试创建驻留密钥，如果无法创建，则应创建非驻留密钥。
• discouraged： 认证器必须创建非驻留密钥，如果无法创建，操作应失败。

此值仅用于与 WebAuthn 级别 1 的向后兼容，如果 residentKey 设置为 "required"，则此值设置为 "true"。

Subscribe to our Passkeys Substack for the latest news.

Subscribe

此值表示操作是否需要用户验证。可能的值是：

• required： 操作必须验证用户。
• preferred： 操作应验证用户，但也可以在没有验证的情况下继续（标准值）。
• discouraged： 操作不应验证用户。

警告： 如果设置为 "preferred"，认证器可能会在认证过程中跳过用户验证。请在这篇文章中阅读有关此问题的更多信息。

WebAuthn 中的 authenticatorSelection 允许信赖方指定适合其认证过程的认证器类型，包括对用户验证的要求和认证器的类型。

它通过确定所用认证器的类型（平台或漫游）并设置用户验证的级别来影响用户体验，从而影响认证过程的便捷性和安全性。

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

The authenticatorAttachment setting in authenticatorSelection dictates whether a fixed platform authenticator or a removable cross-platform authenticator is required, affecting the physical and functional characteristics of the authentication process.