1. Прежде чем начать
Использование паролей вместо кодовых ключей — отличный способ для веб-сайтов сделать учетные записи пользователей более безопасными, простыми и удобными. С помощью кодового ключа пользователь может войти на веб-сайт или в приложение, используя функцию блокировки экрана устройства, например, отпечаток пальца, распознавание лица или PIN-код устройства. Для входа в систему необходимо создать кодовый ключ, связать его с учетной записью пользователя и сохранить его открытый ключ на сервере.
В этом практическом задании вы преобразуете простую форму входа в систему с использованием имени пользователя и пароля в форму, поддерживающую ввод пароля и включающую следующие функции:
- Кнопка, которая создает пароль после входа пользователя в систему.
- Пользовательский интерфейс, отображающий список зарегистрированных паролей.
- Существующая форма входа позволяет пользователям авторизоваться с помощью зарегистрированного пароля посредством автозаполнения формы.
Предварительные требования
- Базовое понимание JavaScript
- Базовое понимание API веб-аутентификации (WebAuthn)
Что вы узнаете
- Как создать пароль.
- Как аутентифицировать пользователей с помощью пароля.
- Как сделать так, чтобы форма предлагала пароль в качестве варианта входа в систему.
2. Настройка
В этом практическом задании вы клонируете незавершенное демонстрационное приложение с GitHub, а затем завершите реализацию поддержки паролей.
Клонируйте проект
- Откройте проект на GitHub .
- Клонируйте или скачайте проект.
Запустите проект
- Откройте терминал и перейдите в каталог
cd start, чтобы сменить директорию. - Для установки зависимостей проекта выполните
npm install. - Соберите и запустите проект с помощью
npm run build && IS_LOCAL=1 npm run start. - Откройте http://localhost:8080/ в своем браузере.
Проверьте исходное состояние веб-сайта.
- На сайте введите случайное имя пользователя и нажмите «Далее» .
- Введите случайный пароль, а затем нажмите «Войти» . Пароль будет проигнорирован, но вы всё равно авторизуетесь и попадёте на главную страницу.
- Если вы хотите изменить отображаемое имя, сделайте это. На начальном этапе это всё, что вы можете сделать.
- Нажмите «Выйти» .
В этом состоянии пользователям приходится вводить пароль каждый раз при входе в систему. Добавьте поддержку ввода пароля в эту форму, чтобы пользователи могли входить в систему, используя функцию блокировки экрана устройства.
Для получения более подробной информации о том, как работают пароли, см. раздел «Как работают пароли?» .
3. Добавить возможность создания пароля.
Для аутентификации пользователей с помощью пароля необходимо предоставить им возможность создавать и регистрировать пароль, а также хранить его открытый ключ на сервере.
Вы хотите разрешить создание пароля после того, как пользователь войдет в систему с помощью пароля, и добавить пользовательский интерфейс, который позволит пользователям создавать пароль и просматривать список всех зарегистрированных паролей на /home странице. В следующем разделе вы создадите функцию, которая создает и регистрирует пароль.
Создайте функцию registerCredential()
- В выбранном вами редакторе кода откройте
startдиректорию. - Перейдите к файлу
public/client.jsи прокрутите страницу до конца. - После соответствующего комментария добавьте следующую функцию
registerCredential():
public/client.js
// TODO: Add an ability to create a passkey: Create the registerCredential() function.
export async function registerCredential() {
// TODO: Add an ability to create a passkey: Obtain the challenge and other options from the server endpoint.
// TODO: Add an ability to create a passkey: Create a credential.
// TODO: Add an ability to create a passkey: Register the credential to the server endpoint.
};
Эта функция создает и регистрирует пароль на сервере.
Получите запрос на ввод и другие параметры на серверной конечной точке.
Перед созданием ключа аутентификации необходимо запросить у сервера параметры для передачи через WebAuthn , включая запрос подтверждения. WebAuthn — это API браузера, который позволяет пользователю создать ключ аутентификации и пройти аутентификацию с его помощью. К счастью, в этом практическом задании у вас уже есть серверная конечная точка, которая отвечает такими параметрами.
- Чтобы получить запрос и другие параметры от серверной конечной точки, добавьте следующий код в тело функции
registerCredential()после соответствующего комментария:
public/client.js
// TODO: Add an ability to create a passkey: Obtain the challenge and other options from the server endpoint.
const _options = await _fetch('/auth/registerRequest');
Приведённый ниже фрагмент кода содержит примеры параметров, которые вы получаете от сервера:
{
challenge: *****,
rp: {
id: "example.com",
},
user: {
id: *****,
name: "john78",
displayName: "John",
},
pubKeyCredParams: [{
alg: -7, type: "public-key"
},{
alg: -257, type: "public-key"
}],
excludeCredentials: [{
id: *****,
type: 'public-key',
transports: ['internal', 'hybrid'],
}],
authenticatorSelection: {
authenticatorAttachment: "platform",
requireResidentKey: true,
}
}
Протокол взаимодействия между сервером и клиентом не является частью спецификации WebAuthn . Однако сервер в этом практическом задании разработан таким образом, чтобы возвращать JSON, максимально похожий на словарь PublicKeyCredentialCreationOptions , передаваемый в API WebAuthn navigator.credentials.create() .
Приведенная ниже таблица не является исчерпывающей, но содержит важные параметры из словаря PublicKeyCredentialCreationOptions :
Параметры | Описания |
Для этой регистрации используется сгенерированный сервером запрос в объекте | |
Уникальный идентификатор пользователя. Это значение должно быть объектом | |
В этом поле должен содержаться уникальный идентификатор учетной записи, который пользователь может распознать, например, его адрес электронной почты или имя пользователя. Он отображается в окне выбора учетной записи. (Если вы используете имя пользователя, используйте то же значение, что и при аутентификации по паролю.) | |
Это поле предназначено для необязательного, но удобного для пользователя названия учетной записи. Оно не обязательно должно быть уникальным и может быть выбрано пользователем самостоятельно. Если на вашем сайте нет подходящего значения для этого поля, передайте пустую строку. В зависимости от браузера, это значение может отображаться в окне выбора учетной записи. | |
Идентификатор проверяющей стороны (RP ID) — это домен. Веб-сайт может указать либо свой домен, либо регистрируемый суффикс . Например, если источником RP является https://login.example.com:1337, то RP ID может быть либо | |
В этом поле указываются поддерживаемые RP алгоритмы открытого ключа. Мы рекомендуем установить его значение равным | |
Предоставляет список уже зарегистрированных идентификаторов учетных данных, чтобы предотвратить повторную регистрацию одного и того же устройства. Если указан, член | |
Установите значение параметра | |
Установите логическое значение | |
Установите значение по |
Создать учетные данные
- В теле функции
registerCredential()после соответствующего комментария преобразуйте некоторые параметры, закодированные с помощью Base64URL, обратно в двоичный формат, в частности, строкиuser.idиchallenge, а также экземпляры строкиid, включенные в массивexcludeCredentials. Это можно сделать с помощью функцииPublicKeyCredential.parseCreationOptionsFromJSON():
public/client.js
// TODO: Add an ability to create a passkey: Create a credential.
// Deserialize and decode the `PublicKeyCredential.parseCreationOptionsFromJSON()`.
const options = PublicKeyCredential.parseCreationOptionsFromJSON(_options);
- На следующей строке установите
authenticatorSelection.authenticatorAttachmentв значение"platform"иauthenticatorSelection.requireResidentKeyвtrue. Это позволит использовать только платформенный аутентификатор (само устройство) с возможностью обнаружения учетных данных .
public/client.js
// Use platform authenticator and discoverable credential.
options.authenticatorSelection = {
authenticatorAttachment: 'platform',
requireResidentKey: true
}
- На следующей строке вызовите метод
navigator.credentials.create()для создания учетных данных.
public/client.js
// Invoke the WebAuthn create() method.
const cred = await navigator.credentials.create({
publicKey: options,
});
С помощью этого вызова браузер пытается проверить личность пользователя, используя блокировку экрана устройства .
Зарегистрируйте учетные данные для конечной точки сервера.
После подтверждения личности пользователя создается и сохраняется пароль. Веб-сайт получает объект учетных данных, содержащий открытый ключ, который можно отправить на сервер для регистрации пароля.
Приведённый ниже фрагмент кода содержит пример объекта учётных данных:
{
"id": *****,
"rawId": *****,
"type": "public-key",
"response": {
"clientDataJSON": *****,
"attestationObject": *****,
"transports": ["internal", "hybrid"]
},
"authenticatorAttachment": "platform"
}
Приведенная ниже таблица не является исчерпывающей, но содержит важные параметры объекта PublicKeyCredential :
Параметры | Описания |
Идентификатор созданного пароля, закодированный в Base64URL. Этот идентификатор помогает браузеру определить, есть ли соответствующий пароль на устройстве при аутентификации. Это значение должно храниться в базе данных на бэкэнде. | |
Объект | |
Объект | |
Объект аттестации, закодированный в формате | |
Список поддерживаемых устройством транспортных протоколов: | |
Возвращает значение |
Для отправки объекта учетных данных на сервер выполните следующие действия:
- Закодируйте двоичные параметры учетных данных в формате Base64URL, чтобы они могли быть переданы на сервер в виде строки. Для этого можно использовать
.toJSON():
public/client.js
// TODO: Add an ability to create a passkey: Register the credential to the server endpoint.
// Encode and serialize the `PublicKeyCredential`.
const credential = JSON.stringify(cred);
- На следующей строке отправьте объект на сервер:
public/client.js
return await _fetch('/auth/registerResponse', credential);
При запуске программы сервер возвращает HTTP code 200 , указывающий на то, что учетные данные зарегистрированы.
Теперь у вас есть полная функция registerCredential() !
Просмотрите код решения для этого раздела.
public/client.js
// TODO: Add an ability to create a passkey: Create the registerCredential() function.
export async function registerCredential() {
// TODO: Add an ability to create a passkey: Obtain the challenge and other options from the server endpoint.
const _options = await _fetch('/auth/registerRequest');
// TODO: Add an ability to create a passkey: Create a credential.
// Deserialize and decode the `PublicKeyCredential.parseCreationOptionsFromJSON()`.
const options = PublicKeyCredential.parseCreationOptionsFromJSON(_options);
// Use platform authenticator and discoverable credential.
options.authenticatorSelection = {
authenticatorAttachment: 'platform',
requireResidentKey: true
}
// Invoke the WebAuthn create() method.
const cred = await navigator.credentials.create({
publicKey: options,
});
// TODO: Add an ability to create a passkey: Register the credential to the server endpoint.
// Encode and serialize the `PublicKeyCredential`.
const credential = JSON.stringify(cred);
return await _fetch('/auth/registerResponse', credential);
};
4. Создайте пользовательский интерфейс для регистрации и управления учетными данными пароля.
Теперь, когда функция registerCredential() доступна, вам нужна кнопка для её вызова. Кроме того, вам необходимо отобразить список зарегистрированных паролей.
Добавить HTML-заполнитель
- В редакторе перейдите к файлу
views/home.html. - После соответствующего комментария добавьте элемент пользовательского интерфейса, отображающий кнопку для регистрации пароля и список паролей:
views/home.html
<!-- TODO: Add an ability to create a passkey: Add placeholder HTML. -->
<section>
<h3>Your registered passkeys:</h3>
<div id="list"></div>
</section>
<p id="message" class="instructions"></p>
<mdui-button id="create-passkey" class="hidden" icon="fingerprint" type="button">Create a passkey</mdui-button>
Элемент div#list служит заполнителем для списка.
Проверьте наличие поддержки паролей.
Чтобы возможность создания пароля отображалась только пользователям с устройствами, поддерживающими аутентификацию по паролю, сначала необходимо проверить наличие WebAuthn. Если он доступен, то нужно удалить hidden класс, чтобы отобразить кнопку «Создать пароль» .
Чтобы проверить, поддерживает ли среда ключи доступа, выполните следующие действия:
- В конце файла
views/home.htmlпосле соответствующего комментария напишите условное выражение, которое выполняется, еслиwindow.PublicKeyCredential,PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailableиPublicKeyCredential.isConditionalMediationAvailabletrue.
views/home.html
// TODO: Add an ability to create a passkey: Check for passkey support.
const createPasskey = $('#create-passkey');
// Feature detections
if (window.PublicKeyCredential &&
PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable &&
PublicKeyCredential.isConditionalMediationAvailable) {
- В теле условного оператора проверьте, может ли устройство создать пароль, а затем проверьте, может ли этот пароль быть предложен в функции автозаполнения формы.
views/home.html
try {
const capabilities = await PublicKeyCredential.getClientCapabilities();
// Is conditional UI available in this browser?
if (capabilities.conditionalGet === true &&
capabilities.passkeyPlatformAuthenticator === true) {
- Если все условия выполнены, отобразите кнопку для создания пароля. В противном случае отобразите предупреждающее сообщение.
views/home.html
createPasskey.classList.remove('hidden');
} else {
// If conditional UI isn't available, show a message.
$('#message').innerText = 'This device does not support passkeys.';
}
} catch (e) {
console.error(e);
}
} else {
// If WebAuthn isn't available, show a message.
$('#message').innerText = 'This device does not support passkeys.';
}
Отобразить зарегистрированные ключи доступа в виде списка.
- Определите функцию
renderCredentials(), которая получает зарегистрированные ключи доступа с сервера и отображает их в виде списка. К счастью, у вас уже есть серверная конечная точка/auth/getKeysдля получения зарегистрированных ключей доступа для вошедшего в систему пользователя.
views/home.html
// TODO: Add an ability to create a passkey: Render registered passkeys in a list.
async function renderCredentials() {
const res = await _fetch('/auth/getKeys');
const list = $('#list');
const creds = res.length > 0 ? html`
<mdui-list>
${res.map(cred => html`
<mdui-list-item>
${cred.name || 'Unnamed'}
<mdui-button-icon data-cred-id="${cred.id}" data-name="${cred.name || 'Unnamed'}" @click="${rename}" icon="edit" slot="end-icon"></mdui-button-icon>
<mdui-button-icon data-cred-id="${cred.id}" @click="${remove}" icon="delete" slot="end-icon"></mdui-button-icon>
</mdui-list-item>`)}
</mdui-list>` : html`
<mdui-list>
<mdui-list-item>No credentials found.</mdui-list-item>
</mdui-list>`;
render(creds, list);
};
- На следующей строке вызовите функцию
renderCredentials()для отображения зарегистрированных паролей сразу после перехода пользователя на страницу/homeв качестве инициализации.
views/home.html
renderCredentials();
Создайте и зарегистрируйте пароль.
Для создания и регистрации пароля необходимо вызвать функцию registerCredential() , которую вы реализовали ранее.
Чтобы вызвать функцию registerCredential() при нажатии кнопки «Создать пароль» , выполните следующие действия:
- В файле после HTML-заполнителя найдите следующее оператор
import:
views/home.html
import {
$,
_fetch,
loading,
updateCredential,
unregisterCredential,
} from '/client.js';
- В конце тела оператора
importдобавьте функциюregisterCredential().
views/home.html
// TODO: Add an ability to create a passkey: Create and register a passkey.
import {
$,
_fetch,
loading,
updateCredential,
unregisterCredential,
registerCredential
} from '/client.js';
- В конце файла после соответствующего комментария определите функцию
register(), которая вызывает функциюregisterCredential()и индикатор загрузки, а также вызывает функциюrenderCredentials()после регистрации. Это поясняет, что браузер создает пароль и отображает сообщение об ошибке, когда что-то идет не так.
views/home.html
// TODO: Add an ability to create a passkey: Create and register a passkey.
async function register() {
try {
// Start the loading UI.
loading.start();
// Start creating a passkey.
await registerCredential();
// Stop the loading UI.
loading.stop();
// Render the updated passkey list.
renderCredentials();
- В теле функции
register()перехватывайте исключения. Методnavigator.credentials.create()генерирует ошибкуInvalidStateError, если пароль уже существует на устройстве. Это проверяется с помощью массиваexcludeCredentials. В этом случае пользователю отображается соответствующее сообщение. Также генерируется ошибкаNotAllowedError, когда пользователь отменяет диалог аутентификации. В этом случае исключение игнорируется.
views/home.html
} catch (e) {
// Stop the loading UI.
loading.stop();
// An InvalidStateError indicates that a passkey already exists on the device.
if (e.name === 'InvalidStateError') {
alert('A passkey already exists for this device.');
// A NotAllowedError indicates that the user canceled the operation.
} else if (e.name === 'NotAllowedError') {
Return;
// Show other errors in an alert.
} else {
alert(e.message);
console.error(e);
}
}
};
- На строке после функции
register()привяжите функциюregister()к событиюclickдля кнопки «Создать пароль» .
views/home.html
createPasskey.addEventListener('click', register);
Просмотрите код решения для этого раздела.
views/home.html
<!-- TODO: Add an ability to create a passkey: Add placeholder HTML. -->
<section>
<h3>Your registered passkeys:</h3>
<div id="list"></div>
</section>
<p id="message" class="instructions"></p>
<mdui-button id="create-passkey" icon="fingerprint" type="button">Create a passkey</mdui-button>
views/home.html
// TODO: Add an ability to create a passkey: Create and register a passkey.
import {
$,
_fetch,
loading,
updateCredential,
unregisterCredential,
registerCredential
} from '/client.js';
views/home.html
// TODO: Add an ability to create a passkey: Check for passkey support.
const createPasskey = $('#create-passkey');
// Is WebAuthn available in this browser?
if (window.PublicKeyCredential &&
PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable &&
PublicKeyCredential.isConditionalMediationAvailable) {
try {
const capabilities = await PublicKeyCredential.getClientCapabilities();
// Is conditional UI available in this browser?
if (capabilities.conditionalGet === true &&
capabilities.passkeyPlatformAuthenticator === true) {
// If conditional UI is available, reveal the Create a passkey button.
createPasskey.classList.remove('hidden');
} else {
// If conditional UI isn't available, show a message.
$('#message').innerText = 'This device does not support passkeys.';
}
} catch (e) {
console.error(e);
}
} else {
// If WebAuthn isn't available, show a message.
$('#message').innerText = 'This device does not support passkeys.';
}
// TODO: Add an ability to create a passkey: Render registered passkeys in a list.
async function renderCredentials() {
const res = await _fetch('/auth/getKeys');
const list = $('#list');
const creds = html`${res.length > 0 ? html`
<mdui-list>
${res.map(cred => html`
<mdui-list-item>
${cred.name || 'Unnamed'}
<mdui-button-icon data-cred-id="${cred.id}" data-name="${cred.name || 'Unnamed'}" @click="${rename}" icon="edit" slot="end-icon"></mdui-button-icon>
<mdui-button-icon data-cred-id="${cred.id}" @click="${remove}" icon="delete" slot="end-icon"></mdui-button-icon>
</mdui-list-item>`)}
</mdui-list>` : html`
<mdui-list>
<mdui-list-item>No credentials found.</mdui-list-item>
</mdui-list>`}`;
render(creds, list);
};
renderCredentials();
// TODO: Add an ability to create a passkey: Create and register a passkey.
async function register() {
try {
// Start the loading UI.
loading.start();
// Start creating a passkey.
await registerCredential();
// Stop the loading UI.
loading.stop();
// Render the updated passkey list.
renderCredentials();
} catch (e) {
// Stop the loading UI.
loading.stop();
// An InvalidStateError indicates that a passkey already exists on the device.
if (e.name === 'InvalidStateError') {
alert('A passkey already exists for this device.');
// A NotAllowedError indicates the user canceled the operation.
} else if (e.name === 'NotAllowedError') {
return;
// Show other errors in an alert.
} else {
alert(e.message);
console.error(e);
}
}
};
createPasskey.addEventListener('click', register);
Попробуйте!
Если вы выполнили все шаги до настоящего момента, вы реализовали возможность создания, регистрации и отображения паролей на веб-сайте!
Чтобы попробовать, выполните следующие шаги:
- На сайте войдите в систему, используя случайное имя пользователя и пароль.
- Нажмите «Создать пароль» .
- Подтвердите свою личность с помощью блокировки экрана устройства.
- Убедитесь, что пароль зарегистрирован и отображается в разделе «Ваши зарегистрированные пароли» на веб-странице.
Переименовать и удалить зарегистрированные ключи доступа.
Вы сможете переименовывать или удалять зарегистрированные ключи доступа в списке. Вы можете проверить, как это работает, в коде, который прилагается к Codelab.
В Chrome удалить зарегистрированные пароли можно через chrome://settings/passkeys на компьютере или через менеджер паролей в настройках Android.
Информацию о том, как переименовывать и удалять зарегистрированные ключи доступа на других платформах, см. на соответствующих страницах поддержки этих платформ.
5. Добавить возможность аутентификации с помощью пароля.
Теперь пользователи могут создать и зарегистрировать пароль и использовать его для безопасной аутентификации на вашем веб-сайте. Теперь вам нужно добавить возможность аутентификации с помощью пароля на ваш веб-сайт.
Создайте функцию authenticate()
- В файле
public/client.jsпосле соответствующего комментария создайте функцию с именемauthenticate(), которая локально проверяет пользователя, а затем проверяет его на сервере:
public/client.js
// TODO: Add an ability to authenticate with a passkey: Create the authenticate() function.
export async function authenticate() {
// TODO: Add an ability to authenticate with a passkey: Obtain the challenge and other options from the server endpoint.
// TODO: Add an ability to authenticate with a passkey: Locally verify the user and get a credential.
// TODO: Add an ability to authenticate with a passkey: Verify the credential.
};
Получите запрос на подтверждение и другие параметры на серверной конечной точке.
Прежде чем запрашивать у пользователя аутентификацию, необходимо запросить у сервера параметры для передачи в WebAuthn, включая запрос на подтверждение.
- В теле функции
authenticate()после соответствующего комментария вызовите функцию_fetch()для отправкиPOSTзапроса на сервер:
public/client.js
// TODO: Add an ability to authenticate with a passkey: Obtain the challenge and other options from the server endpoint.
// Base64URL decode the challenge.
const options = PublicKeyCredential.parseRequestOptionsFromJSON(_options);
Сервер в этом практическом задании предназначен для возврата JSON, максимально похожего на словарь PublicKeyCredentialRequestOptions , передаваемый в API WebAuthn navigator.credentials.get() . Следующий фрагмент кода содержит пример параметров, которые вы должны получить:
{
"challenge": *****,
"rpId": "localhost",
"allowCredentials": []
}
Приведенная ниже таблица не является исчерпывающей, но содержит важные параметры из словаря PublicKeyCredentialRequestOptions :
Параметры | Описания |
Запрос, сгенерированный сервером и помещенный в объект | |
RP ID — это домен. Веб-сайт может указать либо свой домен, либо регистрируемый суффикс . Это значение должно совпадать с параметром | |
Это свойство используется для поиска аутентификаторов, подходящих для данной аутентификации. Передайте пустой массив или оставьте его неуказанным, чтобы браузер отобразил селектор учетной записи. Подробнее о работе свойства | |
Установите значение |
Проверьте пользователя локально и получите учетные данные.
- В теле функции
authenticate()после соответствующего комментария преобразуйте параметрchallengeобратно в двоичный формат:
public/client.js
// TODO: Add an ability to authenticate with a passkey: Locally verify the user and get a credential.
// Base64URL decode the challenge.
options.challenge = base64url.decode(options.challenge);
- Передайте пустой массив в параметр
allowCredentials, чтобы открыть окно выбора учетной записи после аутентификации пользователя:
public/client.js
// An empty allowCredentials array invokes an account selector by discoverable credentials.
options.allowCredentials = [];
При выборе учетной записи используется информация о пользователе, хранящаяся вместе с паролем.
- Вызовите метод
navigator.credentials.get()с опциейmediation: 'conditional':
public/client.js
// Invoke the WebAuthn get() method.
const cred = await navigator.credentials.get({
publicKey: options,
// Request a conditional UI.
mediation: 'conditional'
});
Эта опция указывает браузеру предлагать пароли при определенных условиях в процессе автозаполнения форм.
Проверьте учетные данные.
После того, как пользователь подтвердит свою личность локально, вы должны получить объект учетных данных, содержащий подпись, которую вы можете проверить на сервере.
Приведённый ниже фрагмент кода содержит пример объекта PublicKeyCredential :
{
"id": *****,
"rawId": *****,
"type": "public-key",
"response": {
"clientDataJSON": *****,
"authenticatorData": *****,
"signature": *****,
"userHandle": *****
},
authenticatorAttachment: "platform"
}
Приведенная ниже таблица не является исчерпывающей, но содержит важные параметры объекта PublicKeyCredential :
Параметры | Описания |
Идентификатор аутентифицированного пароля, закодированный в Base64URL. | |
Объект | |
Объект | |
Объект | |
Объект | |
Объект | |
Возвращает строку |
Для отправки объекта учетных данных на сервер выполните следующие действия:
- В теле функции
authenticate()после соответствующего комментария закодируйте двоичные параметры учетных данных, чтобы их можно было передать на сервер в виде строки. Для этого можно использовать.toJSON():
public/client.js
// TODO: Add an ability to authenticate with a passkey: Verify the credential.
// Encode and serialize the `PublicKeyCredential`.
const credential = JSON.stringify(cred);
- Отправьте объект на сервер:
public/client.js
return await _fetch(`/auth/signinResponse`, credential);
При запуске программы сервер возвращает HTTP code 200 , что означает проверку учетных данных.
Теперь у вас есть полный доступ к функции authentication() !
Просмотрите код решения для этого раздела.
public/client.js
// TODO: Add an ability to authenticate with a passkey: Create the authenticate() function.
export async function authenticate() {
// TODO: Add an ability to authenticate with a passkey: Obtain the
challenge and other options from the server endpoint.
const options = await _fetch('/auth/signinRequest');
// TODO: Add an ability to authenticate with a passkey: Locally verify
the user and get a credential.
// Base64URL decode the challenge.
options.challenge = base64url.decode(options.challenge);
// The empty allowCredentials array invokes an account selector
by discoverable credentials.
options.allowCredentials = [];
// Invoke the WebAuthn get() function.
const cred = await navigator.credentials.get({
publicKey: options,
// Request a conditional UI.
mediation: 'conditional'
});
// TODO: Add an ability to authenticate with a passkey: Verify the credential.
const credential = {};
credential.id = cred.id;
credential.rawId = cred.id; // Pass a Base64URL encoded ID string.
credential.type = cred.type;
// Base64URL encode some values.
const clientDataJSON = base64url.encode(cred.response.clientDataJSON);
const authenticatorData =
base64url.encode(cred.response.authenticatorData);
const signature = base64url.encode(cred.response.signature);
const userHandle = base64url.encode(cred.response.userHandle);
credential.response = {
clientDataJSON,
authenticatorData,
signature,
userHandle,
};
return await _fetch(`/auth/signinResponse`, credential);
};
6. Добавьте пароли в функцию автозаполнения браузера.
Когда пользователь возвращается, вам нужно, чтобы он входил в систему максимально легко и безопасно. Если вы добавите на страницу входа кнопку «Войти с паролем» , пользователь сможет нажать эту кнопку, выбрать пароль в меню выбора учетной записи браузера и использовать блокировку экрана для подтверждения личности.
Однако переход от пароля к ключу доступа происходит не у всех пользователей одновременно. Это означает, что вы не можете отказаться от паролей, пока все пользователи не перейдут на ключи доступа, поэтому вам нужно оставить форму входа на основе пароля до этого момента. Хотя, если вы оставите форму ввода пароля и кнопку ввода ключа доступа, пользователям придется делать ненужный выбор, какой из способов использовать для входа. В идеале вам нужен простой и понятный процесс входа.
Здесь вступает в игру условный пользовательский интерфейс . Условный пользовательский интерфейс — это функция WebAuthn, позволяющая создать поле ввода формы, которое будет предлагать пароль в качестве одного из вариантов автозаполнения в дополнение к паролям. Если пользователь нажимает на пароль в предложенных вариантах автозаполнения, ему предлагается использовать блокировку экрана устройства для локальной проверки личности. Это обеспечивает удобный пользовательский интерфейс, поскольку действия пользователя практически идентичны входу в систему с помощью пароля.
Включите условный пользовательский интерфейс.
Чтобы включить условное отображение пользовательского интерфейса, достаточно добавить токен webauthn в атрибут autocomplete поля ввода. Установив токен, вы можете вызвать метод navigator.credentials.get() со строкой mediation: 'conditional' чтобы условно активировать блокировку экрана.
- Чтобы включить условный интерфейс, замените существующие поля ввода имени пользователя следующим HTML-кодом после соответствующего комментария в файле
view/index.html:
view/index.html
<!-- TODO: Add passkeys to the browser autofill: Enable conditional UI. -->
<mdui-text-field id="username" label="Username" name="username" autocomplete="username webauthn" autofocus></mdui-text-field>
Обнаружение функций, вызов WebAuthn и включение условного пользовательского интерфейса.
- В файле
view/index.htmlпосле соответствующего комментария замените существующее выражениеimportследующим кодом:
view/index.html
// TODO: Add passkeys to the browser autofill: Detect features, invoke WebAuthn, and enable a conditional UI.
import {
$,
_fetch,
loading,
authenticate
} from "/client.js";
Этот код импортирует функцию authenticate() , которую вы реализовали ранее.
- Убедитесь, что объект
window.PulicKeyCredentialдоступен и что методPublicKeyCredential.isConditionalMediationAvailable()возвращает значениеtrue, а затем вызовите функциюauthenticate():
view/index.html
// TODO: Add passkeys to the browser autofill: Detect features, invoke WebAuthn, and enable a conditional UI.
if (window.PublicKeyCredential &&
PublicKeyCredential.getClientCapabilities) {
try {
// Is conditional UI available in this browser?
const capabilities = await PublicKeyCredential.getClientCapabilities();
if (capabilities.conditionalGet) {
// If conditional UI is available, invoke the authenticate() function.
const user = await authenticate();
if (user) {
// Proceed only when authentication succeeds.
$("#username").value = user.username;
loading.start();
location.href = "/home";
} else {
throw new Error("User not found.");
}
}
} catch (e) {
loading.stop();
// A NotAllowedError indicates that the user canceled the operation.
if (e.name !== "NotAllowedError") {
console.error(e);
alert(e.message);
}
}
}
Просмотрите код решения для этого раздела.
view/index.html
<!-- TODO: Add passkeys to the browser autofill: Enable conditional UI. -->
<mdui-text-field id="username" label="Username" name="username" autocomplete="username webauthn" autofocus></mdui-text-field>
view/index.html
// TODO: Add passkeys to the browser autofill: Detect features, invoke WebAuthn, and enable a conditional UI.
import {
$,
_fetch,
loading,
authenticate
} from '/client.js';
view/index.html
// TODO: Add passkeys to the browser autofill: Detect features, invoke WebAuthn, and enable a conditional UI.
// Is WebAuthn available on this browser?
if (window.PublicKeyCredential &&
PublicKeyCredential.getClientCapabilities) {
try {
// Is conditional UI available in this browser?
const capabilities = await PublicKeyCredential.getClientCapabilities();
if (capabilities.conditionalGet) {
// If conditional UI is available, invoke the authenticate() function.
const user = await authenticate();
if (user) {
// Proceed only when authentication succeeds.
$('#username').value = user.username;
loading.start();
location.href = '/home';
} else {
throw new Error('User not found.');
}
}
} catch (e) {
loading.stop();
// A NotAllowedError indicates that the user canceled the operation.
if (e.name !== 'NotAllowedError') {
console.error(e);
alert(e.message);
}
}
}
Попробуйте!
Вы реализовали на своем веб-сайте создание, регистрацию, отображение и аутентификацию паролей.
Чтобы попробовать, выполните следующие шаги:
- Перейдите на вкладку «Предварительный просмотр».
- При необходимости выйдите из системы.
- Щёлкните по текстовому полю с именем пользователя. Появится диалоговое окно.
- Выберите учетную запись, с помощью которой вы хотите войти в систему.
- Подтвердите свою личность с помощью блокировки экрана устройства. Вы будете перенаправлены на главную страницу
/homeи авторизованы.
7. Поздравляем!
Вы завершили этот практический урок! Если у вас возникнут вопросы, задайте их в списке рассылки FIDO-DEV или на StackOverflow, используя passkey .