当客户端可发现的驻留密钥与WebAuthN一起使用时,依赖方没有必要首先识别试图登录的用户。那么RP如何知道哪个用户登录了?RP是否只是接收AuthenticatorAssertionResponse并从中获取user.id?
断言响应中response.userHandle
的值可用于标识登录的用户-它将等于传递给navigator.credentials.create()
的PublicKeyCredentialCreationOptions
中设置为user.id
的值。
userHandle
是一个潜在的未定义值,但当证明过程中需要常驻密钥时,验证器必须记住用户ID-请参阅authenticatorMakeCredential
操作的步骤7.4(用户句柄是验证器在其内部凭据映射中使用的密钥的一部分,以记住给定RP ID和用户句柄的可发现凭据(。