Entry № 1365
WebAuthn
WebAuthn 是什么?
WebAuthnW3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。
Web Authentication(WebAuthn)是 FIDO2 面向浏览器的部分。它提供两个方法:navigator.credentials.create() 和 navigator.credentials.get(),允许依赖方在用户的认证器上生成新的密钥对,并在后续请求一个断言(已签名的挑战)以验证用户对私钥的持有。该标准支持平台认证器(Touch ID、Windows Hello、Android)、漫游认证器(USB、NFC、蓝牙安全密钥)以及同步 passkey。由于签名与依赖方来源绑定,WebAuthn 能够抵御钓鱼、中间人攻击和凭据复用。主流浏览器与身份提供方均已广泛支持,使其成为 Web 上抗钓鱼无密码 MFA 的基石。
● 示例
- 01
银行登录页面调用 navigator.credentials.get(),使用 passkey 验证回访客户。
- 02
通过 WebAuthn 注册流程在开发者控制台注册一把安全密钥。
● 常见问题
WebAuthn 是什么?
W3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。 它属于网络安全的 身份与访问 分类。
WebAuthn 是什么意思?
W3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。
如何防御 WebAuthn?
针对 WebAuthn 的防御通常结合技术控制与运营实践,详见上方完整定义。
WebAuthn 还有哪些其他名称?
常见的别称包括: Web Authentication。