时间戳

首页 > 解决方案 > WebAuthn 身份验证器证明响应 id 和 rawId

webauthn - WebAuthn 身份验证器证明响应 id 和 rawId

问题描述

我想问一个关于id和的问题rawId

在实施 webauthn 时,在身份验证器证明响应中,我看到我们同时拥有idrawId. 阅读规范(https://www.w3.org/TR/webauthn-1/#dom-publickeycredential-rawid),idbase64url(rawId)

{
  "type": "public-key",
  "id": "AV1--2gCLXLF9_5bGWDwZn6FP_OqAWfKY74mckatWMgN65o5OW8q2k9XVbYl8kAqPtpEoBlM0opKEjwDqYRBDIYbAl058O8ZQWS-r0M0L-9ikcu3tKuMxfFnRZ9gU6tnDH6QqzYwUg",
  "rawId": "AV1--2gCLXLF9_5bGWDwZn6FP_OqAWfKY74mckatWMgN65o5OW8q2k9XVbYl8kAqPtpEoBlM0opKEjwDqYRBDIYbAl058O8ZQWS-r0M0L-9ikcu3tKuMxfFnRZ9gU6tnDH6QqzYwUg",
  "response": {
    ...
  }
  ...
}

所以这是我的问题:

标签: webauthnauthenticatorfidoattestations

解决方案

Q1。为什么我们需要 id

为什么我们同时拥有 id 和 rawId的答案是因为它是规范中的设计:

id 是从 Credential 继承的,尽管 PublicKeyCredential 会覆盖 Credential 的 getter,而是返回对象标识符内部插槽中包含的数据的 base64url 编码。
https://www.w3.org/TR/webauthn-2/#iface-pkcredential

Q2。为什么在上面的例子中,我的 id 和 rawId 完全一样?它总是一样吗?如果是这样,我们可以摆脱响应中的 id 吗?

我们返回 rawId 的原始字节,作为注册响应初始验证的一部分,必须将其与 id 中编码的字节进行比较,因此从技术上讲,我们不能放弃它。

此外,无论出于何种原因,如果 base64url 编码不合适,RP 可能会使用未编码的原始值,因此也会返回 rawId。

Q3。如果我将公钥 ID 保存到数据库中(稍后使用该公钥 ID 创建allowCredentials列表),我应该遵循以下哪一个?

如上所述,这取决于 RP 实现,无论出于何种原因,如果 base64url 编码不合适,RP 可能会使用未编码的原始值并将其编码为 RP 喜欢的任何格式。

我存储 id 是因为它已经被编码成一种格式,便于在故障排除时在日志中复制/粘贴和比较。稍后我们将使用该 id 创建allowCredentials并将其发送回身份验证器。不需要做额外的工作base64url(rawId),使用id就完全没问题了。

推荐阅读