WebAuthn无密码身份验证技术

最新推荐文章于 2023-05-18 07:30:00 发布
最新推荐文章于 2023-05-18 07:30:00 发布
阅读量615 收藏 2
点赞数
分类专栏: SpringSecurity 文章标签: WebAuthn 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129378891
版权

背景

WebAuthn全称是Web Authentication API,是由W3C和FIDO在 Google、Mozilla、Microsoft、Yubico 等公司的参与下编写的规范。WebAuthn是一组在服务器、浏览器和身份验证器之间启用无密码身份验证技术。一般使用非对称加密技术,用公钥代替传统的密码,来注册和验证用户。主流浏览器Chrome、Firefox、Edge 和 Safari 都支持 WebAuthn。

注册流程

  1. 用户进入注册页面,填写个人资料后,提交给服务端。

  1. 服务端收到个人资料后,生成Challenge(随机字符串)和凭证 ID(用户的userID)返回给客户端。

  1. 客户端将Challenge 、凭证 ID和服务器域名信息发送给验证器(Authenticator),验证器可以是FaceID、实体秘钥等认证设备,存在多个设备可以让用户选择一种验证器。

  1. 验证器判断域名+凭证 ID是否存在密钥对,不存在就创建新的密钥对(公私钥)。验证器将私钥存在域名+凭证 ID下,再用私钥签名Challenge,将签名结果、凭证 ID和公钥返回给客户端(浏览器)。

  1. 浏览器把结果传给服务器

  1. 服务器取出凭证 ID对应的Challenge,用公钥签名Challenge,将结果和浏览器返回的签名比较,一致表面验证通过。然后,把凭证 ID对应的公钥存下来。

认证流程

  1. 用户进入登录页面,输入用户名后点击登录

  1. 服务器返回凭证 ID(userID)和Challenge

  1. 浏览器将域名、凭证 ID(userID)和Challenge发给验证器

  1. 验证器通过域名、凭证 ID找到私钥,通过私钥签名Challenge,将签名结果返回给浏览器。

  1. 浏览器将将签名结果、凭证 ID发给服务器

  1. 服务器取出凭证 ID对应的Challenge,用公钥签名Challenge,将结果和浏览器返回的签名比较,一致表面验证通过,允许用户登录。

引用

接口文档: https://webauthn.guide/

李昂的数字之旅
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应用安全四十三:无密码认证安全
jimmyleeee的专栏
12-03 616
密码认证是一种新兴的安全技术身份认证手段,是用密码以外的东西验证软件用户身份的过程,旨在替代传统的用户账号和密码认证方法,提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权,可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。 本文主要介绍了无密码认证的概念、类型、威胁和相关的预防措施。
【SpringSecurity+JWT单点登录,跳过密码校验】
m0_44976351的博客
05-15 1571
https://blog.csdn.net/z69183787/article/details/113717614
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8135
spring security单点登录跳过密码验证
设置免密登录
恁村扛把子的博客
11-29 194
1.修改主机名 sudo vim /ect/hostname 修改主机名 2.免密登录服务器 $ ssh-keygen $ ls -a $ cd .ssh ~/.ssh$ cat id_rsa.pub 复制公钥 在另一个终端确保已经登录pi 输入pwd 由于此处初次使用,所以cd .ssh所以会报错-bash: cd: .ssh: No such file or director...
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2400
springsecurity的登录认证流程及对源码的一些解读
8种无密码身份认证方式,你了解多少?
systemino的博客
07-05 4130
近年来持续爆发的大规模数据泄露事件表明,数据泄露是导致密码认证方式过时的主要原因之一。根据调查显示,超过80%的入侵攻击是利用被盗的密码或弱密码。所以,毫无疑问,无密码身份认证在未来几年内将变得越来越普遍。那么现在它的发展情况如何?我们真的开始无密码认证实践了吗?我们最终是否能够迎来无密码认证时代? 过去几个月里,微软和谷歌一直在大力推动“无密码身份认证技术,而苹果公司已经凭借在iPhon...
webauthnWeb身份验证:用于访问公共密钥凭证的API
02-18
Web认证规范这是W3C WebAuthn工作组的存储库,产生“ Web身份验证”规范草案。 或的。 当前官方发布的工作草稿快照 。贡献为了对本规范做出实质性贡献,您必须满足概述的要求。 另外,在提交反馈之前,请熟悉并查看...
passwordless:无密码身份验证服务器,支持OTP,计划实施WebAuthn,TOTP和移动生物识别
03-21
您拥有需要无密码身份验证或需要第二因素身份验证的站点或Web服务。无密码服务是实现它的更简单方法。您只需安装它并将其与您的站点集成。可以使用(OTP)身份验证或(WebAuthn)将此服务用于对用户进行身份。 您只...
twofactor_webauthn:用于FIDO2WebAuthn 2要素身份验证的Roundcube插件
05-28
twofactor_webauthn 用于FIDO2 / WebAuthn 2要素身份验证的Roundcube插件要求Roundcube 1.4+ PHP 7.0以上通过HTTPS服务的网站(这是WebAuthn的强制要求)
CPEVote:使用WebAuthn进行指纹身份验证的Django应用程序
03-18
CPEVote
webauthn-snippets:FIDO2Webauthn 服务器和身份验证器的随机代码片段
05-30
webauthn-snippets [正在进行中] FIDO2 / Webauthn服务器和身份验证器的随机代码段
Web身份验证WebAuthn
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
05-18 2478
WebAuthn是FIDO联盟FIDO2规范集的核心组件,是一种基于Web的API,允许网站更新其登录页面,以便在支持的浏览器和平台上添加基于FIDO的身份验证。FIDO2使用户能够利用常见设备轻松地在移动的和桌面环境中对在线服务进行身份验证Web服务和应用程序可以-并且应该-打开此功能,通过生物识别技术,移动的设备和/或FIDO安全密钥为用户提供更轻松的登录体验-并且比单独的密码具有更高的安全性。
使用 WebAuthn 告别密码:在线身份保护的未来
MIKUScallion的专栏
01-03 626
为了让对 WebAuthn 感兴趣的开发者更快的理解和开发,我完成了一个基于 WebAuthn身份认证流程的 demo,方便开发者进行二次开发,项目叫 web-authn-completed-app,技术栈:客户端使用 Vue3 + Typescript + Vite3 开发;此外,若要为网站或应用创建公私钥对,用户必须先在该网站或应用中注册,而且对于不熟悉 WebAuthn 的用户来说,可能需要一些时间来学习和理解这种身份验证方式。相比于传统的密码认证方式,WebAuthn 具有许多优点。
webauthn
qq_31650157的博客
02-08 1337
webauthn
密码(Passwordless)验证,真的更安全吗?
TrustAsia的博客
01-18 982
密码,真的更安全
火狐和chrome_Firefox,Chrome和Edge都将支持WebAuthn的硬件两因素身份验证
cum43546的博客
09-18 279
火狐和chromeLogging into Gmail or Facebook could soon mean plugging in a USB device, potentially making phishing a thing of the past. 登录Gmail或Facebook可能很快就意味着要插入USB设备,这可能使网络钓鱼成为过去。 That’s thanks to WebAu...
密码身份验证如何保障用户隐私安全
HarmonyOS SDK闭源开能力技术团队
07-05 4832
在互联网世界,验证用户身份是一个常见又重要的场景,应用最广泛的方式当属帐号密码验证。随着开发者对身份验证安全性要求不断提升,加之用户更加注重过程中的隐私与便捷,身份验证的方式逐渐多样化,有动态令牌、短信验证码、生物特征认证等方式。本文主要从安全性的角度,探讨几种常见身份验证方式存在的安全漏洞,为开发者们提供更具优势的解决方案。 常见身份验证方式的在安全性方面的隐患如下: 既然静态和动态密码的验证方式都存在漏洞,那么身份验证是否可以不依赖于密码? 其实,在很早之前,就有人开始设想“无密码登录”。当然,“无密
验证身份的密码是什么_为什么无密码身份验证有效
culi3118的博客
08-25 1986
验证身份的密码是什么In December 2014, I published Would You Implement Passwordless Login? It expanded on articles such as Justin Balthrop’s Passwords are Obsolete and Ben Brown’s Is it time for passwordless log...
密码身份认证与多因素身份认证(MFA)
yuzijiang11111的博客
02-17 1044
一文看懂无密码身份认证与多因素身份认证MFA的定义、区别、优劣势。
org.openqa.selenium.ElementClickInterceptedException: element click intercepted: Element <input class="codeno" name="Currency1" id="Currency1" style="background: url(../common/images/select--bg_03.png) no-repeat center right; " onclick="return showCodeList('currency',[this,CurrencyName1],[0,1]);" ondblclick="return showCodeList('currency',[this,CurrencyName1],[0,1]);" onkeyup="return showCodeListKey('currency',[this,CurrencyName1],[0,1]);" autocomplete="off"> is not clickable at point (157, 600). Other element would receive the click: <option value="2">...</option> (Session info: chrome=114.0.5735.110) Build info: version: '3.141.59', revision: 'e82be7d358', time: '2018-11-14T08:17:03' System info: host: 'NB-CD-237', ip: '10.10.14.2', os.name: 'Windows 10', os.arch: 'amd64', os.version: '10.0', java.version: '1.8.0_351' Driver info: org.openqa.selenium.chrome.ChromeDriver Capabilities {acceptInsecureCerts: false, browserName: chrome, browserVersion: 114.0.5735.110, chrome: {chromedriverVersion: 114.0.5735.90 (386bc09e8f4f..., userDataDir: C:\Users\HZ2211~1\AppData\L...}, goog:chromeOptions: {debuggerAddress: localhost:50094}, javascriptEnabled: true, networkConnectionEnabled: false, pageLoadStrategy: normal, platform: WINDOWS, platformName: WINDOWS, proxy: Proxy(), setWindowRect: true, strictFileInteractability: false, timeouts: {implicit: 0, pageLoad: 300000, script: 30000}, unhandledPromptBehavior: dismiss and notify, webauthn:extension:credBlob: true, webauthn:extension:largeBlob: true, webauthn:extension:minPinLength: true, webauthn:extension:prf: true, webauthn:virtualAuthenticators: true} Session ID: 573972bafc2464b48b20cd585953448e
最新发布
06-13
这是一个 Selenium 的异常,错误信息是元素无法被点击。具体原因是该元素被其他元素遮挡了,无法直接点击。您可以尝试使用 Selenium 的 Actions 类来模拟鼠标点击,或者使用 JavaScript 脚本来执行点击操作。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值