Passkeys
所需依赖
要开始使用,请将 webauthn4j-core 依赖项添加到您的项目中。
|
这假设您使用 Spring Boot 或 Spring Security 的 BOM 来管理 Spring Security 的版本,如获取 Spring Security中所述。 |
-
Maven
-
Gradle
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
</dependency>
<dependency>
<groupId>com.webauthn4j</groupId>
<artifactId>webauthn4j-core</artifactId>
<version>0.28.6.RELEASE</version>
</dependency>depenendencies {
implementation "org.springframework.security:spring-security-web"
implementation "com.webauthn4j:webauthn4j-core:0.28.6.RELEASE"
}配置
以下配置启用 passkey 认证。它提供了在 /webauthn/register 注册新凭证以及一个默认登录页面,该页面允许使用 passkey 进行认证。
-
Java
-
Kotlin
@Bean
SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.formLogin(withDefaults())
.webAuthn((webAuthn) -> webAuthn
.rpName("Spring Security Relying Party")
.rpId("example.com")
.allowedOrigins("https://example.com")
);
return http.build();
}
@Bean
UserDetailsService userDetailsService() {
UserDetails userDetails = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
return new InMemoryUserDetailsManager(userDetails);
}@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
webAuthn {
rpName = "Spring Security Relying Party"
rpId = "example.com"
allowedOrigins = setOf("https://example.com")
}
}
}
@Bean
open fun userDetailsService(): UserDetailsService {
val userDetails = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build()
return InMemoryUserDetailsManager(userDetails)
}注册新凭证
为了使用 passkey,用户必须首先注册新凭证。
注册新凭证包含两个步骤
-
请求注册选项
-
注册凭证
请求注册选项
注册新凭证的第一步是请求注册选项。在 Spring Security 中,通常使用 JavaScript 请求注册选项,如下所示
|
Spring Security 提供了一个默认注册页面,可以作为如何注册凭证的参考。 |
POST /webauthn/register/options
X-CSRF-TOKEN: 4bfd1575-3ad1-4d21-96c7-4ef2d9f86721上述请求将获取当前已认证用户的注册选项。由于挑战(challenge)被持久化(状态改变)以便在注册时进行比较,因此请求必须是 POST 并包含 CSRF 令牌。
{
"rp": {
"name": "SimpleWebAuthn Example",
"id": "example.localhost"
},
"user": {
"name": "[email protected]",
"id": "oWJtkJ6vJ_m5b84LB4_K7QKTCTEwLIjCh4tFMCGHO4w",
"displayName": "[email protected]"
},
"challenge": "q7lCdd3SVQxdC-v8pnRAGEn1B2M-t7ZECWPwCAmhWvc",
"pubKeyCredParams": [
{
"type": "public-key",
"alg": -8
},
{
"type": "public-key",
"alg": -7
},
{
"type": "public-key",
"alg": -257
}
],
"timeout": 300000,
"excludeCredentials": [],
"authenticatorSelection": {
"residentKey": "required",
"userVerification": "preferred"
},
"attestation": "none",
"extensions": {
"credProps": true
}
}注册凭证
获取注册选项后,将使用它们创建要注册的凭证。要注册新凭证,应用程序应在对二进制值(如 user.id、challenge 和 excludeCredentials[].id)进行 base64url 解码后,将选项传递给 navigator.credentials.create。
然后可以将返回值作为 JSON 请求发送到服务器。下面是一个注册请求示例
POST /webauthn/register
X-CSRF-TOKEN: 4bfd1575-3ad1-4d21-96c7-4ef2d9f86721
{
"publicKey": { (1)
"credential": {
"id": "dYF7EGnRFFIXkpXi9XU2wg",
"rawId": "dYF7EGnRFFIXkpXi9XU2wg",
"response": {
"attestationObject": "o2NmbXRkbm9uZWdhdHRTdG10oGhhdXRoRGF0YViUy9GqwTRaMpzVDbXq1dyEAXVOxrou08k22ggRC45MKNhdAAAAALraVWanqkAfvZZFYZpVEg0AEHWBexBp0RRSF5KV4vV1NsKlAQIDJiABIVggQjmrekPGzyqtoKK9HPUH-8Z2FLpoqkklFpFPQVICQ3IiWCD6I9Jvmor685fOZOyGXqUd87tXfvJk8rxj9OhuZvUALA",
"clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3JlYXRlIiwiY2hhbGxlbmdlIjoiSl9RTi10SFJYRWVKYjlNcUNrWmFPLUdOVmlibXpGVGVWMk43Z0ptQUdrQSIsIm9yaWdpbiI6Imh0dHBzOi8vZXhhbXBsZS5sb2NhbGhvc3Q6ODQ0MyIsImNyb3NzT3JpZ2luIjpmYWxzZX0",
"transports": [
"internal",
"hybrid"
]
},
"type": "public-key",
"clientExtensionResults": {},
"authenticatorAttachment": "platform"
},
"label": "1password" (2)
}
}| 1 | 调用 navigator.credentials.create 并在其中对二进制值进行 base64url 编码后的结果。 |
| 2 | 用户选择的与此凭证关联的标签,用于帮助用户区分凭证。 |
HTTP/1.1 200 OK
{
"success": true
}验证认证断言
注册新凭证后,可以验证(认证)passkey。
验证凭证包含两个步骤
-
请求验证选项
-
验证凭证
请求验证选项
验证凭证的第一步是请求验证选项。在 Spring Security 中,通常使用 JavaScript 请求验证选项,如下所示
|
Spring Security 提供了一个默认登录页面,可以作为如何验证凭证的参考。 |
POST /webauthn/authenticate/options
X-CSRF-TOKEN: 4bfd1575-3ad1-4d21-96c7-4ef2d9f86721上述请求将获取验证选项。由于挑战(challenge)被持久化(状态改变)以便在认证时进行比较,因此请求必须是 POST 并包含 CSRF 令牌。
响应将包含获取凭证的选项,其中二进制值(如 challenge)已进行 base64url 编码。
{
"challenge": "cQfdGrj9zDg3zNBkOH3WPL954FTOShVy0-CoNgSewNM",
"timeout": 300000,
"rpId": "example.localhost",
"allowCredentials": [],
"userVerification": "preferred",
"extensions": {}
}验证凭证
获取验证选项后,将使用它们获取凭证。要获取凭证,应用程序应在对二进制值(如 challenge)进行 base64url 解码后,将选项传递给 navigator.credentials.get。
然后可以将 navigator.credentials.get 的返回值作为 JSON 请求发送到服务器。二进制值(如 rawId 和 response.*)必须进行 base64url 编码。下面是一个认证请求示例
POST /login/webauthn
X-CSRF-TOKEN: 4bfd1575-3ad1-4d21-96c7-4ef2d9f86721
{
"id": "dYF7EGnRFFIXkpXi9XU2wg",
"rawId": "dYF7EGnRFFIXkpXi9XU2wg",
"response": {
"authenticatorData": "y9GqwTRaMpzVDbXq1dyEAXVOxrou08k22ggRC45MKNgdAAAAAA",
"clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uZ2V0IiwiY2hhbGxlbmdlIjoiRFVsRzRDbU9naWhKMG1vdXZFcE9HdUk0ZVJ6MGRRWmxUQmFtbjdHQ1FTNCIsIm9yaWdpbiI6Imh0dHBzOi8vZXhhbXBsZS5sb2NhbGhvc3Q6ODQ0MyIsImNyb3NzT3JpZ2luIjpmYWxzZX0",
"signature": "MEYCIQCW2BcUkRCAXDmGxwMi78jknenZ7_amWrUJEYoTkweldAIhAMD0EMp1rw2GfwhdrsFIeDsL7tfOXVPwOtfqJntjAo4z",
"userHandle": "Q3_0Xd64_HW0BlKRAJnVagJTpLKLgARCj8zjugpRnVo"
},
"clientExtensionResults": {},
"authenticatorAttachment": "platform"
}HTTP/1.1 200 OK
{
"redirectUrl": "/", (1)
"authenticated": true (2)
}| 1 | 要重定向到的 URL |
| 2 | 表示用户已认证 |
HTTP/1.1 401 OK
