WebAuthn 中的信赖方是什么？

• 在 WebAuthn 或 passkeys 的背景下，信赖方是寻求对用户进行身份验证的实体。它通常指依赖于验证器来核实用户身份的 Web 服务器或服务。此身份验证过程可确保用户安全访问，同时提供无缝的用户体验。
• “信赖方”这一术语源于其依赖外部验证器（如硬件安全密钥、笔记本电脑或智能手机）来验证用户。身份验证过程涉及使用一个称为信赖方 ID (rpId) 的唯一标识符，该标识符有助于区分不同的信赖方。

---

信赖方在 WebAuthn / passkey 生态系统中不可或缺。下面我们来深入了解一下：

• 信赖方的目标： 其主要作用是通过向用户发起挑战来证明其身份，从而启动身份验证流程。这种挑战-响应机制可确保未经授权的实体无法获得访问权限。
• 与验证器的相互作用： 信赖方与验证器紧密合作。一旦用户出示其凭据，验证器会进行验证并返回一个签名的响应。然后，信赖方会验证此响应以完成身份验证过程。
• 信赖方 ID (rpId) 的重要性： rpId 至关重要，因为它为凭据提供了一个作用域。通过确保 rpId 与预期的域或源匹配，信赖方可以防止潜在的攻击（如中间人攻击），从而增强安全性。

在相关的博客文章中阅读有关 rpId 和信赖方其他方面的更多信息。

• 增强安全性： 借助对外部验证器的依赖和 rpId 的作用域绑定，WebAuthn 的信赖方模型提供了一个额外的安全层。
• 改善用户体验： 用户无需记住密码，减少了与密码相关的泄露事件，并提供了更流畅的登录过程。
• 多功能性： 该模型支持多种验证器，让用户可以灵活选择自己偏好的方法。

---

rpId 是信赖方的唯一标识符，可确保凭据的作用域限定在正确的实体上。它对安全至关重要，能确保身份验证过程与预期的域或源绑定。因此，可以防止网络钓鱼攻击。

信赖方通过向用户发起挑战来启动身份验证，而验证器则是验证用户凭据并响应挑战的设备或方法。

WebAuthn 的信赖方模型利用了外部验证器和 rpId 机制，使攻击者更难冒充用户或拦截身份验证过程。