对于已有网页或应用程序的开发人员来说,如果希望实施 FIDO 身份验证,则必须对应用程序进行两处修改: 1) 修改贵机构网站或移动应用程序的登录和注册页面,以便使用FIDO协议;以及 2) 设置 FIDO 服务器,以验证任何 FIDO 注册或验证请求。 接下来的两节将简要介绍这两项变更所应采取的步骤。
修改注册和登录
如果您的应用程序已经具备注册和登录账户的功能,那么添加 FIDO 身份验证功能就像修改注册和登录屏幕一样简单。
首先要做出的设计决定是使用 FIDO 进行第一要素身份验证(无密码)还是第二要素身份验证。 做出这一决定需要考虑的因素太多(易用性、平台可用性、应用类型、风险承受能力等),这里就不一一讨论了,但好消息是,无论使用 FIDO 作为第一要素还是第二要素,其实施方法看起来都大致相同。
注册
将 FIDO 与您的注册网页整合,只需调用正确的注册 API 调用即可。 每种 FIDO 规范的注册电话是
- uaf: uaf_operation (
iOS
,
安卓
) – UAF 客户端 API 规范定义了一个安卓 Intent 和 iOS x-callback 方案(分别),其操作类型为 UAF_OPERATION,其中 UAF_OPERATION 的第一个参数告诉验证器要执行注册。 - U2F:
注册()
– U2F 规范定义了在浏览器中执行注册的 JavaScript API。 - FIDO2 / WebAuthn:
navigator.credentials.create()
– WebAuthn 规范(FIDO2 项目的一部分)定义了一个 navigator.credentials.create() API,用于在浏览器中创建新凭证(又称注册)。
每个 API 调用都要求您的应用程序从服务器获取一个挑战(大随机数),并将其传递给相应的 API 调用。 服务器将确保发送到验证器的验证信息与接收到的信息一致,因此您的应用程序可能需要某种会话管理(如 cookie)来跟踪验证信息和用户名/用户账户。 在进行 API 调用后,API 调用产生的 JSON 消息将被发回服务器(通常是通过服务器定义的 REST 端点),服务器将验证注册消息的挑战、签名、来源和其他关键安全特征。 每个 FIDO 规范都对服务器为验证信息而必须执行的验证进行了说明:
- UAF:UAF 协议规范定义了服务器处理和验证注册请求的方式
注册请求
和
验证(又称登录)请求的方式
- U2F:
服务器验证在
在 U2F JavaScript API 规范中定义 - FIDO2 / WebAuthn:WebAuthn 规范
规定了
依赖方/服务器在接收注册或登录请求时应执行的所有步骤。
服务器将根据注册成功或失败给出成功或失败的回复。
值得一提的是,每个用户的账户都可能注册了多个身份验证器,因此要确保用户体验流程允许用户添加多个身份验证器,为它们命名以示区分,并删除身份验证器(例如,如果身份验证器丢失或被盗)。
登录
使用 FIDO 登录与注册非常相似。 就像每个 FIDO 规范都有一个注册调用一样,也有一个类似的登录 API:
- uaf: uaf_operation (
iOS
,
安卓
) – UAF 客户端 API 规范定义了一个安卓 Intent 和 iOS x-callback 方案(分别),其操作类型为 UAF_OPERATION,其中 UAF_OPERATION 的第一个参数告诉验证器执行登录。 - U2F:
sign()
– U2F 规范定义了在浏览器中签署断言(又称登录)的 JavaScript API。 - WebAuthn:
navigator.credentials.get()
– WebAuthn 规范定义了一个 navigator.credentials.get() API,用于通过浏览器使用凭证(又称登录)。
同样,与注册调用类似,登录 API 调用也需要来自服务器的挑战。 根据应用程序接口的不同,它可能还需要其他信息–例如,WebAuthn 可能需要以前注册账户的 “凭证 ID”。 前面提到需要某种会话管理,这里也同样适用,API 流程的其余部分与注册基本相同:向 API 调用传递挑战、向服务器返回 JSON 并等待服务器的成功/失败响应。
添加 FIDO 服务器
将 FIDO 服务器与现有身份验证流程集成的方法太多了,这里无法一一详述。 例如,FIDO 服务器可以与网络或应用服务器集成,可以作为现有 IAM 框架中的一个模块提供,也可以是一个独立的服务器,或者对于非常广泛和复杂的服务来说,可以是上述几种方式的任意组合。 此外,FIDO 还可与特定于应用程序的用户数据存储(如 MySQL 或 Mongo 数据库)、LDAP/ActiveDirectory 集成,通过 OpenID Connect (OIDC) 身份提供程序 (IDP) 提供 SSO 等。 由于后端身份验证架构和使用案例多种多样,因此很难谈及 FIDO 服务器集成的所有细节,以下是 FIDO 服务器部署的一般提示和注意事项。 具体的服务器供应商及其文档应提供更多信息,说明如何将 FIDO 集成到任何已有的 IAM 环境中。
除了为服务器设置硬件和软件外,还有几个步骤在大多数服务器部署中都是通用的:
- 服务器通常使用 REST 端点与客户端通信。 这需要正确的防火墙配置,以便与客户进行通信。 如前所述,这些端点可以是现有应用(如网络服务器或移动应用服务器)的一部分,也可以使用微服务架构或 ESB 将信息路由到独立的 FIDO 服务器。
- 服务器需要 https 通信,因此需要有效的 https TLS 证书(或在前面加上 TLS 终结符)。
- 服务器可能有用于确定何时允许注册和身份验证的策略配置。 对于金融或政府机构来说,这可能包括使用FIDO元数据服务(MDS)来验证正在访问服务的验证器的安全性。
- 服务器需要与某种形式的用户数据存储(LDAP、ActiveDirectory、MySQL、MongoDB 等)集成。 对于新服务来说,这只是一个将某种存储与每个用户的账户相关联的问题。 对于现有的应用程序,这将需要修改数据模式–通常是在用户账户和他们将注册的验证器/凭证之间添加某种形式的一对多关系。
有关 FIDO 服务器架构和配置的其他帮助论坛,请访问 这里 [链接到社区资源页面].