我已经按照本教程 https://webauthn.guide/#registration
我正在使用yubico nfc密钥,我几乎设法注册了安全密钥。 我从服务器发送随机字节质询以注册密钥和其他数据。
当我注册密钥时,我设法解码了clientDataJson和身份验证响应以检索大量信息。 但是,我无法弄清楚如何处理 credentialId et authData 缓冲区,我尝试解码它们,解密它们,但我总是得到奇怪的数据,没有任何看起来像 credentialId 或公钥的东西。
这是我到目前为止得到的代码
var createCredentialDefaultArgs = {
publicKey: {
// Relying Party (a.k.a. - Service):
rp: {
name: 'Dummy'
},
// User:
user: {
id: new Uint8Array(16),
name: 'John Doe',
displayName: 'Mr Doe'
},
pubKeyCredParams: [{
type: "public-key",
alg: -7
}],
attestation: "direct",
timeout: 60000,
challenge: new Uint8Array(/* stuff*/).buffer
}
};
$('[data-register-webauthn]')
.on('click', function () {
// register / create a new credential
navigator.credentials.create(createCredentialDefaultArgs)
.then((cred) => {
console.log("NEW CREDENTIAL", cred);
const utf8Decoder = new TextDecoder('utf-8');
const decodedClientData = utf8Decoder.decode(cred.response.clientDataJSON);
// parse the string as an object
const clientDataObj = JSON.parse(decodedClientData);
const decodedAttestationObj = CBOR.decode(cred.response.attestationObject);
const {authData} = decodedAttestationObj;
// get the length of the credential ID
const dataView = new DataView(new ArrayBuffer(2));
const idLenBytes = authData.slice(53, 55);
idLenBytes.forEach(
(value, index) => dataView.setUint8(
index, value)
);
const credentialIdLength = dataView.getUint16();
// get the credential ID
const credentialId = authData.slice(
55, credentialIdLength);
// get the public key object
const publicKeyBytes = authData.slice(
55 + credentialIdLength);
// the publicKeyBytes are encoded again as CBOR
const publicKeyObject = CBOR.decode(
publicKeyBytes.buffer);
console.log(publicKeyObject)
})
.catch((err) => {
console.log("ERROR", err);
});
})
最后,我不知道如何处理公钥对象和凭证 ID。解构似乎毫无用处。
知道吗?
我总是得到一些奇怪的数据,没有看起来像credentialID或公钥的东西。
那是因为两者都是字节序列。
您从authData解析的credentialId是由 U2F 密钥生成的随机字节字符串(通常为 96 字节长),因此不要指望这些字节有意义。
publicKey变量有点棘手,因为它是 CBOR 编码的(不是常规的 PEM 字符串),在用publicKeyObject解码后,应该会给你一个这样的输出:
{
1: 2, // Ellipic Curve key type
3: -7, // ES256 signature algorithm
-1: 1, // P-256 curve
-2: 0x7885DB484..., // X value
-3: 0x814F3DD31... // Y value
}
最后,我不知道如何处理公钥对象和凭证 ID。
您需要凭据 ID来识别尝试对您的网站进行身份验证的用户,并使用公钥来验证其身份。
从authData响应中提取的所有其他信息都应该经过验证,但没有必要保留它,只需保存该对credentialId并publicKeyBytes即可。
本网站详细解释了身份验证过程: https://webauthn.guide/#authentication
要了解如何验证签名,请查看此链接:https://w3c.github.io/webauthn/#fig-signature
凭据 ID 和凭据公钥值都是非人类可口的字节字符串。
关于如何处理它们。您可以将它们存储在数据库中的用户数据旁边或服务器正在使用的任何其他长期存储旁边,以便您可以将它们用作将来身份验证仪式的输入。