是的nather.company.com等。(不要使用IP)
我有一个情况,我想在负载平衡器上实现管理接口上的fido u2f(使用yubikey),因此登录后,以管理系统-U2F必须用作额外的身份验证层。
在系统的寿命中 - IP地址和用于访问其更改的主机名通常是常见的(例如,一旦它是https://192.168.0.20/,则是https://lb-admin.company.com/,然后是其他东西等)。
问题在于,一个密钥正在针对appid(网站的URL)进行注册,然后将appid编码在钥匙扣中。有没有办法允许多个苹果,甚至在注册键时删除苹果限制?
换句话说 - 注册一个Yubikey,然后从网站的任何入口点使用它,甚至使用与此不同的IP地址或与此不同的域访问网站的情况,最初与该网站访问了该网站?
为了这样做,您的appid引用应指向将作为trustedfacetlist处理的在线JSON文件。
现实世界的示例...这是实施以下操作的偏见。https://github.com/u2f/trusted_facets
此处描述了所有细节和规则:Fido Appid和Facet规范(FacetID)https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-ps-ps-ps-ps-20141009.html