FIDO 認證

身份驗證中涉及的實體的表示:服務器、Web 瀏覽器和設備。

FIDO(Fast IDentity Online)身份驗​​證是一套快速、簡單、強大的身份驗證標準。

這些標準由 FIDO 聯盟制定,該聯盟是一個行業協會,其代表來自一系列組織,包括谷歌、微軟、Mozilla 和 Yubico。這些標準支持網絡釣魚、無密碼和多因素身份驗證。他們通過使強身份驗證更易於實施和使用來改善在線用戶體驗。

一些網絡上最流行的工具和應用程序已經在使用 FIDO 身份驗證,包括 Google 帳戶、Dropbox、GitHub、Twitter 和 Yahoo Japan。


  • 用戶贏了。用戶受益於快速且安全的身份驗證流程。

  • 開發商贏。應用程序和 Web 開發人員可以使用簡單的 API 來安全地對用戶進行身份驗證。

  • 企業贏。網站所有者和服務提供商可以更有效地保護他們的用戶。

FIDO 身份驗證如何工作?

在FIDO的認證流程,依賴方使用API來與用戶的交互認證

信賴方

Web 應用程序和 Web 服務器之間的安全鏈接的表示。

依賴方為您服務,後端服務器和前端應用程序組成。

應用

在認證或登記流量,應用程序使用客戶端API等WebAuthnFIDO2為Android創建和驗證與認證用戶憑據。

這涉及將加密挑戰從服務器傳遞給驗證器,並將驗證器的響應返回給服務器以進行驗證。

服務器

服務器存儲用戶的公鑰憑據和帳戶信息。

在身份驗證或註冊流程中,服務器會生成加密質詢以響應來自應用程序的請求。然後它評估對挑戰的響應。

FIDO聯盟保持認證的第三方產品,包括服務器解決方案的列表。許多開源 FIDO 服務器也可用;看到WebAuthn真棒了解更多信息。

身份驗證器

用戶即將在移動設備上登錄 Web 應用程序。

甲FIDO認證器生成的用戶憑證。用戶憑證同時具有公鑰和私鑰組件。公鑰與您的服務共享,而私鑰由身份驗證器保密。

驗證器可以是用戶設備的一部分,也可以是外部硬件或軟件。

認證者在兩個基本交互使用:註冊認證

登記

在註冊場景中,當用戶在網站上註冊帳戶時,身份驗證器會生成一個只能在您的服務上使用的新密鑰對。證書的公鑰和標識符將與服務器一起存儲。

驗證

在身份驗證場景中,當用戶在新設備上返回服務時,或者在他們的會話過期後,身份驗證器必須提供用戶私鑰的證明。它通過響應服務器發出的加密挑戰來實現這一點。

為了驗證用戶的身份,某些類型的身份驗證器使用生物識別技術,例如指紋或面部識別。其他人使用 PIN。在某些情況下,密碼用於驗證用戶,而身份驗證器僅提供第二因素身份驗證。

下一步

拿一個代碼實驗室:

學習更多關於: