การตรวจสอบ FIDO

การเป็นตัวแทนของหน่วยงานที่เกี่ยวข้องกับการรับรองความถูกต้อง: เซิร์ฟเวอร์ เว็บเบราว์เซอร์ และอุปกรณ์

การตรวจสอบ FIDO (Fast IDentity Online) เป็นชุดของมาตรฐานสำหรับการรับรองความถูกต้องที่รวดเร็ว เรียบง่าย และเข้มงวด

มาตรฐานเหล่านี้ได้รับการพัฒนาโดย FIDO Alliance ซึ่งเป็นสมาคมอุตสาหกรรมที่มีตัวแทนจากหลากหลายองค์กร เช่น Google, Microsoft, Mozilla และ Yubico มาตรฐานนี้ทำให้สามารถพิสูจน์ตัวตนแบบป้องกันฟิชชิ่ง ไม่ต้องใช้รหัสผ่าน และมีหลายปัจจัย พวกเขาปรับปรุง UX ออนไลน์ด้วยการทำให้การรับรองความถูกต้องที่เข้มงวดง่ายต่อการติดตั้งและใช้งาน

เครื่องมือและแอพยอดนิยมของเว็บบางตัวใช้การรับรองความถูกต้อง FIDO อยู่แล้ว รวมถึงบัญชี Google, Dropbox, GitHub, Twitter และ Yahoo Japan


  • ผู้ใช้ชนะ ผู้ใช้จะได้รับประโยชน์จากขั้นตอนการรับรองความถูกต้องที่รวดเร็วและปลอดภัย

  • นักพัฒนาชนะ นักพัฒนาแอปและเว็บสามารถใช้ API แบบง่ายเพื่อตรวจสอบสิทธิ์ผู้ใช้ได้อย่างปลอดภัย

  • ธุรกิจชนะ เจ้าของไซต์และผู้ให้บริการสามารถปกป้องผู้ใช้ของตนได้อย่างมีประสิทธิภาพมากขึ้น

การตรวจสอบสิทธิ์ FIDO ทำงานอย่างไร

ในการตรวจสอบการไหล FIDO, คู่กรณีใช้ APIs ในการโต้ตอบกับตรวจสอบสิทธิ์ของผู้ใช้

พรรคประชาธิปัตย์

การแสดงลิงก์ที่ปลอดภัยระหว่างเว็บแอปและเว็บเซิร์ฟเวอร์

บุคคลที่อาศัยเป็นบริการของคุณประกอบด้วยเซิร์ฟเวอร์ back-end และการประยุกต์ใช้ front-end

แอปพลิเคชัน

ในระหว่างการรับรองความถูกต้องหรือการลงทะเบียนการไหลของโปรแกรมประยุกต์ที่ใช้ APIs ฝั่งไคลเอ็นต์เช่น WebAuthn และ FIDO2 สำหรับ Android ในการสร้างและตรวจสอบสิทธิของผู้ใช้ที่มีตัวตน

สิ่งนี้เกี่ยวข้องกับการส่งความท้าทายการเข้ารหัสจากเซิร์ฟเวอร์ไปยังตัวตรวจสอบความถูกต้อง และส่งคืนการตอบกลับของผู้รับรองความถูกต้องไปยังเซิร์ฟเวอร์เพื่อตรวจสอบความถูกต้อง

เซิร์ฟเวอร์

เซิร์ฟเวอร์เก็บข้อมูลรับรองคีย์สาธารณะและข้อมูลบัญชีของผู้ใช้

ในระหว่างขั้นตอนการตรวจสอบสิทธิ์หรือการลงทะเบียน เซิร์ฟเวอร์จะสร้างความท้าทายในการเข้ารหัสเพื่อตอบสนองต่อคำขอจากแอปพลิเคชัน จากนั้นจึงประเมินการตอบสนองต่อความท้าทาย

FIDO พันธมิตร เก็บรายการได้รับการรับรองผลิตภัณฑ์ของบุคคลที่สามรวมทั้งโซลูชั่นเซิร์ฟเวอร์ นอกจากนี้ยังมีเซิร์ฟเวอร์โอเพ่นซอร์ส FIDO จำนวนหนึ่งให้เลือก ดู WebAuthn น่ากลัว สำหรับข้อมูลเพิ่มเติม

ตัวตรวจสอบสิทธิ์

ผู้ใช้กำลังจะเข้าสู่ระบบเว็บแอปบนอุปกรณ์มือถือ

FIDO Authenticator สร้างข้อมูลประจำตัวของผู้ใช้ ข้อมูลรับรองผู้ใช้มีทั้งคอมโพเนนต์คีย์สาธารณะและคีย์ส่วนตัว คีย์สาธารณะจะถูกแชร์กับบริการของคุณ ในขณะที่คีย์ส่วนตัวจะถูกเก็บไว้เป็นความลับโดยผู้ตรวจสอบสิทธิ์

เครื่องยืนยันตัวตนสามารถเป็นส่วนหนึ่งของอุปกรณ์ของผู้ใช้ หรือชิ้นส่วนของฮาร์ดแวร์หรือซอฟต์แวร์ภายนอก

ตรวจสอบความถูกใช้ในสองปฏิสัมพันธ์ขั้นพื้นฐาน: การลงทะเบียนและการตรวจสอบ

การลงทะเบียน

ในสถานการณ์การลงทะเบียน เมื่อผู้ใช้ลงทะเบียนสำหรับบัญชีบนเว็บไซต์ ผู้รับรองความถูกต้องจะสร้างคู่คีย์ใหม่ที่สามารถใช้ได้กับบริการของคุณเท่านั้น กุญแจสาธารณะและตัวระบุสำหรับข้อมูลประจำตัวจะถูกเก็บไว้กับเซิร์ฟเวอร์

การตรวจสอบสิทธิ์

ในสถานการณ์การตรวจสอบสิทธิ์ เมื่อผู้ใช้กลับมาใช้บริการบนอุปกรณ์ใหม่ หรือหลังจากเซสชันหมดอายุ ผู้ตรวจสอบสิทธิ์จะต้องแสดงหลักฐานยืนยันคีย์ส่วนตัวของผู้ใช้ ทำได้โดยตอบสนองต่อความท้าทายด้านการเข้ารหัสที่ออกโดยเซิร์ฟเวอร์

เพื่อยืนยันตัวตนของผู้ใช้ เครื่องยืนยันตัวตนบางประเภทใช้ไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือการจดจำใบหน้า คนอื่นใช้ PIN ในบางกรณี รหัสผ่านจะใช้เพื่อยืนยันผู้ใช้และผู้รับรองความถูกต้องจะให้การรับรองความถูกต้องด้วยปัจจัยที่สองเท่านั้น

ขั้นตอนถัดไป

ใช้ codelab:

เรียนรู้เพิ่มเติมเกี่ยวกับ: