Fido无密码认证示例部署运行

已于 2023-04-25 19:28:09 修改
阅读量1.9k 收藏 7
点赞数 1
分类专栏: 安全 文章标签: FIDO webauthn 无密码登录 示例 测试
于 2023-04-24 23:20:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxm_qz/article/details/130353162
版权

文章目录

本文对fido基本概念进行总结说明,并部署运行一个实际的例子,可以直观的体验fido无密码认证。晚上的例子方便后续实现相关功能。

什么是FIDO

常见认证方式的问题
目前流行认证方式普遍存在一些问题
用户名密码模式:密码太复杂不容易记忆,而且当系统、应用很多时为了省事儿往往多个系统/应用都采用相同的密码。因此存在撞库、暴力破解等隐患
动态密码模式:U盾 动态令牌,各个厂商不统一,每个应用都需要有一套,且Ukey需要后端的管理服务器人工维护用户和ukey。短信验证码依赖手机面临手机丢失、基站伪造等问题。
生物特征认证:只在手机端普及,PC使用较少。生物特征如果被采集到服务器端存在泄露的隐患。

FIDO的诞生
为了解决上述问题, 在线快速身份验证联盟于2012年成立,它的目标是创建一套开放、可扩展的标准协议,支持对Web应用的非密码安全认证,消除或减弱用户对密码的依赖。FIDO就是这样一种可扩展的标准协议,全称为Fast Identity Online。

FIDO共有两个版本,1.0和2.0
1.0 主要通过两个标准协议来实现安全登录(验证):分为两大类U2F和UAF

U2F类似于国内的二代U盾的保护机制,相当于双因素认证。使用双因子(密码和能与用户交互的设备)保护用户账户个隐私。当进行验证时,服务器在合适的时候,提示用户插入设备并进行按键操作,加密设备对数据签名,发送给服务器,服务器做验证,如果验证成功,用户则可登录成功。由于有了第二因子(加密设备)的保护,用户可以选择不设置密码或者使用一串简单易记的4位密码

UAF则是支持指纹,语音,虹膜,脸部识别等生物身份识别方式。无需用户密码介入,直接进行验证交易。用户在注册阶段,根据服务器支持的本地验证方式,选择一种验证方式,如指纹识别,人脸识别,语音识别等等,服务器也可以保留密码验证方式,将密码和生物相结合,增强账户安全性。

2.0是由 FIDO 联盟和 W3C 共同推出的 U2F(现称作 FIDO1)的后继标准,善了1.0中还未形成的U2F规范,制定了身份验证器和浏览器(用户端)的API。使用CTAP(身份验证器 API)和Webauthn(浏览器 API)实现U2F。 增加了单因素认证功能,也就是不再需要用户名密码,真正实现无密码登录。包含WebAuthn、 Client to Authenticator Protocol 2(CTAP2,客户端-认证器协议)、U2F 和 UAF 四个部分:
WebAuthn:是用于网站和访客设备交互的
Client to Authenticator Protocol 2(CTAP2,客户端-认证器协议)作为 WebAuthn 的补充,则是用于访客的设备和认证器交互的协议。

webauthn

webAuthn,即 Web Authentication,FDIO2协议的一部分。被认为是 Web 身份认证的未来。WebAuthn 最常见的应用就是用于网站登录时的 2FA(双重因素验证)或无密码登录。通过网页调用 WebAuthn,在不同平台下,我们可以实现通过 USB Key、指纹、面部甚至虹膜扫描来认证身份,同时确保安全和隐私。

使用 WebAuthn 分为两个部分,注册和验证。注册会将认证器的一些信息和用户建立关联;而验证则是验证这些信息以登确保是用户本人在登录。注册时认证器生成一对公私钥,然后将公钥交给服务器;验证阶段是服务器发送给认证器一段文本,要求认证器用自己的私钥加密后发回以验证。

注册流程:
在这里插入图片描述

浏览器向依赖方发送某个用户的注册请求
依赖方向浏览器发送挑战、依赖方信息和用户信息
浏览器向认证器发送挑战、依赖方信息、用户信息和客户端信息以请求创建公钥凭证
认证器请求用户动作,随后创建一对公私钥,并使用私钥签名挑战(即证明),和公钥一起交给浏览器
浏览器将签名后的挑战和公钥发送给依赖方
依赖方用公钥验证挑战是否与发送的一致,如果成功则将公钥与用户绑定,注册完成。

验证流程:
在这里插入图片描述
浏览器向依赖方发送某个用户的验证请求
依赖方向浏览器发送挑战
浏览器向认证器发送挑战、依赖方信息和客户端信息以请求获取公钥凭证
认证器请求用户动作,随后通过依赖方信息找到对应私钥,并使用私钥签名挑战(即断言),交给浏览器
浏览器将签名后的挑战发送给依赖方
依赖方用之前存储的公钥验证挑战是否与发送的一致,一致则验证成功

在整个过程中并没有隐私数据被传输——用户信息实际上只包含用户名和用户 ID

目前webauthn被大部分主流浏览器支持,但是部分浏览器或环境下可能存在限制,具体请查阅相关资料

部署运行

目前webauthn已经有很多开源实现,在网站https://webauthn.io/ 上提供了类库和示例,我们直接下载如下示例进行运行测试
在这里插入图片描述
代码下载
执行 git clone https://github.com/vertx-howtos/fido2-webauthn-howto.git 下载工程代码

创建证书

根据git上的提示我们先创建项目需要的证书,我们要部署的该服务器的服务器IP是 192.168.18.10,创建证书使用的密码为 123456

执行以下命令完成证书文件的创建

[root@localhost ~]# keytool \
>   -genkeypair \
>   -alias rsakey \
>   -keyalg rsa \
>   -storepass 123456 \
>   -keystore certstore.jks \
>   -storetype JKS \
>   -dname "CN=192.168.18.10.nip.io,O=Vert.x Development"
Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore certstore.jks -destkeystore certstore.jks -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。
[root@localhost ~]# keytool \
>   -importkeystore \
>   -srckeystore certstore.jks \
>   -destkeystore certstore.jks \
>   -deststoretype pkcs12
输入源密钥库口令:  
已成功导入别名 rsakey 的条目。
已完成导入命令: 1 个条目成功导入, 0 个条目失败或取消

Warning:
已将 "certstore.jks" 迁移到 Non JKS/JCEKS。将 JKS 密钥库作为 "certstore.jks.old" 进行了备份。
[root@localhost ~]# ll
总用量 12
-rw-------. 1 root root 1232 10月 29 04:13 anaconda-ks.cfg
drwxr-xr-x. 3 root root  106 10月 28 21:11 apps
-rw-r--r--. 1 root root 2487 4月  24 22:51 certstore.jks
-rw-r--r--. 1 root root 2148 4月  24 22:51 certstore.jks.old

编译代码
用编译工具打开项目代码,最好自己了解下 代码结构及源码的意义,这里我也是被里边的依赖困扰了一阵子。
执行maven构建,打包成功

可以点击下载我编译好的程序包
在这里插入图片描述
上传程序包

[root@localhost ~]# rz
rz waiting to receive.
Starting zmodem transfer.  Press Ctrl+C to cancel.
  100%    6383 KB 6383 KB/s 00:00:01       0 Errors
[root@localhost ~]# ll
总用量 6396
-rw-------. 1 root root    1232 10月 29 04:13 anaconda-ks.cfg
drwxr-xr-x. 3 root root     106 10月 28 21:11 apps
-rw-r--r--. 1 root root    2487 4月  24 22:51 certstore.jks
-rw-r--r--. 1 root root    2148 4月  24 22:51 certstore.jks.old
-rw-r--r--. 1 root root 6536315 4月  24 22:55 fido2-1.0.0-SNAPSHOT.jar

执行如下命令启动服务

[root@localhost ~]# java -jar fido2-1.0.0-SNAPSHOT.jar 
Server: https://192.168.18.10.nip.io:8443
四月 24, 2023 11:01:49 下午 io.vertx.core.impl.launcher.commands.VertxIsolatedDeployer
信息: Succeeded in deploying verticle

如上提示服务地址为: https://192.168.18.10.nip.io:8443

访问测试

打开浏览器 输入如上地址 https://192.168.18.10.nip.io:8443,可以看到demo简陋的页面
在这里插入图片描述
因为我们电脑没有ukey等工具,可以可以使用浏览器自带的 模拟工具,如果不开启这个工具 浏览器会让我们选择验证方式
在这里插入图片描述

完成注册和登录前我们访问 系统内容 提示没有权限
在这里插入图片描述
在这里插入图片描述
开启模拟工具 配置如下:
在这里插入图片描述

点击 Register直接提示注册成功。
在这里插入图片描述
这个时候在此访问 secret info 可以正常访问
在这里插入图片描述
使用手机连接到局域网访问这个地址可以直接使用手机的指纹认证来完成注册和登录

catch that elf
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
FIDO身份认证更加契合个人信息保护法
安当加密
10-21 274
随着“数据安全法”和“个人信息保护法”的陆续出台,国家对个人隐私信息的保护措施日趋完善具体。FIDO协议始终是围绕保护用户的隐私来设计的。这些协议不会向在线服务提供商提供可用于跟踪用户的信息。 随着“数据安全法”和“个人信息保护法”的陆续出台,国家对个人隐私信息的保护措施日趋完善具体,其中“个人信息保护法”规定,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。因此,针对应用程序来说,如何有效、便捷、安全、合法的对客户身份进行识别显得尤为重要。 传
FIDO身份认证应用案例
安当加密
11-26 2662
位于佛罗里达州的 First Citrus Bank 为个人、专业人士、高管和企业家提供一流的独立社区银行服务。First Citrus 在五个地点拥有 70 名员工,按资产规模在坦帕湾社区银行中排名前五。 与密码相关的成本、复杂性和安全问题苦苦挣扎,First Citrus 试图提高其员工在共享 Windows 工作站上登录其各种系统的安全性和可用性。在测试了几种替代身份验证方法后,First Citrus 将 FIDO 身份验证作为提供强加密身份验证和更轻松的无密码用户体验的最佳选择。 消除密码..
Android解锁fido,新版Android已支持FIDO2标准 免密登录应用或网站
weixin_29513663的博客
06-04 526
尽管定期更换复杂密码是保证账户安全的一个有效途径,但它们通常冗长且难以记忆(除非你使用统一的密码管理器)。此外,双因素认证也是一个实用的选项,只是用起来可能较为繁琐,尤其是经常需要满世界跑的人们。好消息是,得益于谷歌与 FIDO 联盟达成的这项最新合作,我们有望迎来更加安全、便捷的登录选项,比如通过难以窃取或复制的生物识别数据。值得一提的是,FIDO2 标准还规定了对身份验证数据进行本地处理,因此...
【信息安全案例】——身份与访问安全(学习笔记)_身份与访问安全实例
2401_84302369的博客
05-04 833
1、用户发出登录请求,服务器端发出挑战数据提示用户进行身份验证2、用户在本地输入身份信息(按键、指纹)。3、客户端对用户身份验证成功,取出私钥对挑战数据进行签名。4、服务器使用对应公钥对签名进行验证。
了解——FIDO认证
月来better
02-15 2578
FIDO认证简介 传统的账号认证方式,不管是静态密码、证书、动态令牌,都需要把用户持有的凭证传输到服务端进行验证,就会存在各种各样的风险来伪造用户凭证来进行攻击。 根据LastPass的统计,平均每个企业用户需要管理191个账户密码!而Pew Research的统计表明,很少有人使用密码管理器,在2017年只有12%的受访者使用密码管理器,甚至还有49%的受访者把密码写在纸上。难怪Verizon在《2018年数据泄露调查报告》指出,81.1%的数据泄露事件都是由密码泄漏引起的。 为提高账户的安全性,对认证
探索FIDO UAF中文文档:解锁无密码认证新时代
gitblog_00066的博客
04-08 301
探索FIDO UAF中文文档:解锁无密码认证新时代 项目地址:https://gitcode.com/sickworm/FIDO-UAF-Chinese-Document 该项目是一个详细的FIDO(Fast Identity Online)统一用户验证框架(UAF)中文文档库,旨在帮助开发者和安全专家理解并利用这一先进的身份验证标准,实现更安全、便捷的无密码登录体验。 一、什么是FIDO UA...
fido认证示例程序实现无密认证
04-25
fido认证示例程序实现无密认证 运行方式参考如下博文https://blog.csdn.net/zhangxm_qz/article/details/130353162
pam_fido2:Linux的安全无密码身份验证
02-22
PAM Fido2模块(pre-alpha) 该PAM模块为Linux系统提供安全的用户名和无密码登录名。 通过向任何兼容的FIDO2设备发送FIDO2声明请求,并针对每个用户针对一组已注册的公共密钥验证结果声明,来执行用户认证。 重要的...
58 份 FIDO 线上快速认证联盟规范,用于生物识别支付合规,包含身份认证、授权等相关技术
02-27
CTAP:允许通过USB、NFC或BLE使用外部身份验证器(比如FIDO安全密钥,移动设备)在启用FIDO2的浏览器和操作系统上进行身份验证,以提供无密码、二次身份验证或多重身份验证体验。 W3C WebAuthn:定义了内置在浏览器...
FIDO 核心技术架构,fido认证原理
05-23
FIDO 认证系统基于 FIDO 标准通用身份认证框架,实现了端到端的强身份认证,能够充分利用移动终端设备内部的安全元件,通过生物识别技术(指纹、虹膜等),替代传统密码口令认证方式,消除传统密码口令认证方式所...
fido2-net-lib:使用.NET进行FIDO2 WebAuthn认证和声明的FIDO2 .NET库
03-19
FIDO2 .NET库(WebAuthn)使用和有效实现库+演示 :light_bulb:无密码API现在可用!使用FIDO2和WebAuthn最快的方法是使用无 。承诺使用此库实现自己的服务器之前,可以自由尝试并开始使用。目的为所有.net应用程序...
Fido UAF接口文档
02-25
Fido-UAF接口文档说明,包括注册接口、注册响应接口、鉴别请求接口、鉴别响应接口、注销请求接口
fido2:开源FIDO服务器,具有FIDO2标准。 https
03-27
StrongKey FIDO服务器(SKFS),社区版 自述文件 概述 经FIDO(R)认证的StrongKey FIDO服务器(SKFS),社区版是一个开放源代码解决方案,适用于希望为任何应用程序使用无密码FIDO2登录名的DIY编码人员。 下载代码并将其与您自己的Web登录集成,或研究OpenAPI文档并贡献自己的代码提交。 以下链接提供了FIDOFIDO联盟和FIDO2的一些背景知识: 安装 按照下载SKFS,并使它作为独立服务器运行。 按照下载SKFS并使它作为集群运行。 升级 按照将您当前的SKFS版本升级到最新版本。 样例应用 示例代码提供了每个示例的简要说明: Java样本 :演示FIDO2注册和身份验证的基本Java应用程序 :基本的Java示例应用程序 :概念验证(PoC)Java应用程序 :支持FIDO示例应用程序演示SSO :启用FIDO示例And
FIDO安全协议
doomvsjing的博客
01-17 2189
FIDO(Fast IDentity Online)线上快速身份验证联盟立于2012年,它的目标是创建一套开放、可扩展的标准协议,支持对Web应用的非密码安全认证,消除或减弱用户对密码的依赖。 它主要是通过两个标准协议来实现安全登录(验证)。其中U2F协议是使用PIN和USB端口或者支持NFC的手机,类似于国内的二代U盾的保护机制,使用双因子(密码和能与用户交互的设备)保护用户账户和隐私。另一个U
FIDO认证原理
joely1的专栏
06-13 573
传统的账号认证方式,不管是静态密码、证书、动态令牌,都需要把用户持有的凭证传输到服务端进行验证,就会存在各种各样的风险来伪造用户凭证来进行攻击。 根据LastPass的统计,平均每个企业用户需要管理191个账户密码!而Pew Research的统计表明,很少有人使用密码管理器,在2017年只有12%的受访者使用密码管理器,甚至还有49%的受访者把密码写在纸上。难怪Verizon在《2018年数据泄露调查报告》指出,81.1%的数据泄露事件都是由密码泄漏引起的。 为提高账户的安全性,对认证的安全方式经过三次进
FIDO认证密码的愿景
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
05-16 1281
FIDO(在线快速身份认证)联盟名义上是2012 年 7 月成立的,联盟是 501(c)6 非营利性组织,该组织旨在解决强身份认证设备之间缺乏可互操作性的问题,以及用户面临的设立、记忆多组用户名和密码的难题。FIDO 联盟通过制定开放的、可扩展的、可互操作的协议,正在从本质上改变着身份认证,从而取代依赖密码在在线服务中对用户进行安全地身份认证。这一适用于安全设备和浏览器插件的新标准允许任何网站或云端应用程序与现有的和即将完成FIDO认证的设备进行交互,从而使用户可享用更安全的网络体验。
FIDO(线上快速身份验证)
本是后山人
09-10 4641
官网:https://fidoalliance.org/ 推荐阅读:http://www.360doc.com/content/18/0331/07/9200790_741693576.shtml 推荐阅读:https://www.cnblogs.com/testlife007/p/5127148.html 推荐git:https://github.com/Yubico/java-u2fli...
java中fido_一文读懂华为FIDO2指纹/3D 面容登录技术
weixin_32579355的博客
02-25 1241
前言随着人们对于个人信息安全越来越重视,用户对APP安全要求也越来越高,尤其是金融类APP,很多都已支持指纹&3D登录功能。相较于传统登录方法,指纹&3D面容登录可省去输入账户、密码、验证码等环节,在最大限度地方便用户的同时,也保证了用户信息的私密。那么,如何让自己的APP增加指纹/面容登录功能呢?   只要接入HMS线上快速验证服务(FIDO),即可帮助你的APP实现指纹&amp...
FIDO UAF 结构概述 v1.1
weixin_33890499的博客
07-18 708
FIDO UAF 结构概述 版本 v1.1 FIDO UAF协议中文文档。 现在FIDO UAF有关的文章还比较少,这主要是文档翻译和UAF系统概要介绍。 FIDO官网 感谢原文作者: Salah Machani, RSA, the Security Division of EMC Rob Philpott, RSA, the S...
FIDO官方文档中文版
最新发布
05-13
FIDO是Fast IDentity Online的缩写,是一种开放式的标准,用于增强用户身份验证的安全性。它利用了公钥密码学的特性,通过在客户端和服务器之间进行加密通信来保护用户的身份和数据。FIDO标准已经被各大互联网公司广泛采用,如谷歌、微软、苹果等。 目前,FIDO官方文档已经有中文版,您可以在FIDO官网上找到相关信息。官方文档中文版主要包括以下内容: 1. FIDO协议的介绍和原理 2. FIDO认证的流程和方式 3. FIDO认证的相关技术 4. FIDO认证的安全性评估和测试方法 5. FIDO认证在各种应用场景下的应用案例 6. FIDO标准和相关规范的详细说明 如果您需要了解更多关于FIDO认证的信息,建议您去FIDO官网查看相关文档。同时,如果您有任何问题或疑问,欢迎随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

catch that elf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值