咳咳,各位听众,早上好/下午好/晚上好!欢迎来到今天的“WebAuthn:Attestation和Assertion的那些事儿”讲座。今天咱们不搞虚的,直接上干货,把FIDO2认证协议里的Attestation和Assertion这两个关键概念给扒个精光。 一、WebAuthn:一个不只是密码的时代 先简单回顾一下WebAuthn是啥。简单来说,WebAuthn是一种Web API,让网站可以利用生物识别技术(指纹、人脸识别)或者安全密钥(YubiKey之类的)来进行用户认证。它的目标是取代传统的用户名密码,提供更安全、更便捷的登录方式。 核心概念: Authenticator(认证器): 硬件或软件,用于生成和存储密钥,并执行认证操作。比如你的指纹识别器、手机上的安全芯片、或者YubiKey。 Relying Party (RP,依赖方): 提供服务的网站或者应用,需要验证用户的身份。也就是你的网站或者应用。 二、Attestation:认证器的“身份证明” Attestation,中文可以翻译成“证明”。在WebAuthn流程中,它发生在注册阶段,也就是用户第一次将认证器与网站关联 …
继续阅读“JS `WebAuthn` `Attestation` 与 `Assertion`:FIDO2 认证协议细节”