FIDO驗證

身份驗證所涉及的實體的表示形式:服務器,Web瀏覽器和設備。

FIDO(快速在線身份驗證)身份驗證是用於快速,簡單,強大的身份驗證的一組標準。

這些標準由行業協會FIDO Alliance制定,該協會由來自Google,Microsoft,Mozilla和Yubico的一系列組織的代表組成。這些標準實現了防網絡釣魚,無密碼和多因素身份驗證。通過使強身份驗證更易於實現和使用,它們改善了在線UX。

網絡上一些最受歡迎的工具和應用已經在使用FIDO身份驗證,包括Google帳戶,Dropbox,GitHub,Twitter和Yahoo Japan。


  • 用戶取勝。用戶受益於快速,安全的身份驗證流程。

  • 開發人員獲勝。應用程序和Web開發人員可以使用簡單的API對用戶進行安全身份驗證。

  • 企業取勝。網站所有者和服務提供商可以更有效地保護其用戶。

FIDO身份驗證如何工作?

在FIDO身份驗證流程中,依賴方使用API​​與用戶的身份驗證器進行交互。

依賴方

Web應用程序和Web服務器之間的安全鏈接的表示。

信賴方是您的服務,由後端服務器和前端應用程序組成

應用

在身份驗證或註冊流程期間,應用程序使用客戶端API(例如WebAuthnFIDO2 for Android)來創建和驗證Authenticator的用戶憑據。

這涉及將密碼質詢從服務器傳遞到身份驗證器,並將身份驗證器的響應返回給服務器以進行驗證。

服務器

服務器存儲用戶的公共密鑰憑證和帳戶信息。

在身份驗證或註冊流程期間,服務器將響應來自應用程序的請求生成加密質詢。然後,它評估對挑戰的反應。

FIDO聯盟維護著經過認證的第三方產品列​​表,包括服務器解決方案。還提供了許多開源FIDO服務器。有關更多信息,請參見WebAuthn Awesome

認證者

用戶將要登錄到移動設備上的Web應用程序。

FIDO身份驗證器生成用戶憑證。用戶憑證同時具有公共和私有密鑰組件。公鑰與您的服務共享,而私鑰由身份驗證者保密。

身份驗證器可以是用戶設備的一部分,也可以是外部硬件或軟件的一部分。

身份驗證器用於兩個基本交互:註冊身份驗證

登記

在註冊方案中,當用戶在網站上註冊帳戶時,身份驗證器將生成一個只能在您的服務上使用的新密鑰對。公鑰和憑證的標識符將與服務器一起存儲。

驗證

在身份驗證方案中,當用戶在新設備上返回服務或會話終止後,身份驗證器必須提供用戶私鑰的證明。它通過響應服務器發出的密碼質詢來做到這一點。

為了驗證用戶的身份,某些類型的身份驗證器使用生物識別技術,例如指紋或面部識別。其他人使用PIN碼。在某些情況下,將使用密碼來驗證用戶,而身份驗證器僅提供第二因素身份驗證。

下一步

參加一個代碼實驗室:

學習更多關於: