FIDO2:网络身份验证(WebAuthn) - FIDO Alliance

FIDO2:网络身份验证(WebAuthn)

网络身份验证(WebAuthn)是FIDO联盟FIDO2规范集的核心组成部分,是一种基于网络的应用程序接口,允许网站更新其登录页面,以便在支持的浏览器和平台上添加基于FIDO的身份验证。 FIDO2 使用户能够利用普通设备在移动和桌面环境中轻松验证在线服务。

网络服务和应用程序可以–也应该–开启这一功能,通过生物识别技术、移动设备和/或 FIDO 安全密钥为用户提供更便捷的登录体验,其安全性远远高于单纯的密码。

FIDO 的更高安全性来自于加密登录凭证的使用,这些凭证在每个网站上都是唯一的,不会离开用户的设备,也不会存储在服务器上。 这种安全模式消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。

有关 WebAuthn 的演示,请访问https://webauthn.io/

了解 FIDO 联盟与 WebAuthn 之间的关系
在发布了最初的FIDO UAF和FIDO U2F规范之后,FIDO联盟开始了新的征程,让全世界的用户都能更方便地使用FIDO身份验证。 联盟制定了三项技术规范,定义了基于网络的应用程序接口(API),使FIDO身份验证能够直接内置到浏览器和平台中。

FIDO联盟决定与万维网的国际标准组织–万维网联盟(W3C)合作,为整个网络平台实现FIDO身份验证的标准化。 通过这一标准化,整个网络浏览器和网络应用程序服务器社区都将支持该标准,从而使 FIDO 生态系统不断壮大。

FIDO 联盟成员公司于 2015 年向 W3C 提交了 FIDO 规范,以便正式实现标准化。 随后,他们在 W3C 内完成了 API 的定稿,这就是后来的 Web Authentication(WebAuthn)。 2019 年 3 月,WebAuthn 被正式认定为 W3C 网络标准。 如今,WebAuthn 已成为 FIDO 联盟 FIDO2 规范的一部分,FIDO 联盟还实施了认证计划,以确保合规性。

FIDO2:客户端到验证器协议(CTAP)

FIDO2 的另一个组件,即客户端到验证器协议(CTAP),是 WebAuthn 的补充。 它能让外部验证器(如安全密钥或手机)与支持 WebAuthn 的浏览器配合使用,还能作为桌面应用程序和网络服务的验证器。

点击此处了解有关 FIDO2 的更多信息。

支持 FIDO2:WebAuthn 和 CTAP

浏览器和平台
WebAuthn 目前支持 GoogleChrome、MozillaFirefox、MicrosoftEdge和 AppleSafari网页浏览器,以及Windows 10安卓平台。

网站
对于希望实施 FIDO2 的现有网页或应用程序的开发人员来说,必须对应用程序进行两处修改: 1) 修改贵机构网站或移动应用程序的登录和注册页面,以便使用FIDO协议;以及 2) 设置一个 FIDO 服务器,以验证任何 FIDO 注册或验证请求。 在这里,您可以获得有关这两项变更的步骤的高级概览。

FIDO2 测试和认证

FIDO 联盟为符合 FIDO2 规范的服务器、客户端和验证器提供互操作性测试和认证。 此外,联盟还推出了新的通用服务器认证,用于与所有FIDO验证器类型(FIDO UAF、WebAuthn、CTAP)互操作的服务器。 作为一种最佳做法,FIDO联盟建议在线服务和企业部署通用服务器,以确保支持所有FIDO认证的身份验证器。

目前,有许多FIDO2 认证解决方案可支持各种使用案例。 其中包括支持 FIDO2 的 FIDO 认证通用服务器,以及所有先前的 FIDO UAF 和 FIDO U2F 设备,可完全向后兼容各种认证的 FIDO 身份验证器。

这里开始测试和认证流程。

其他资源

WebAuthn 演示
有关 FIDO2 的更多信息
有关网络身份验证的技术细节
开发人员入门
开发人员资源