- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我已遵循本教程 https://webauthn.guide/#registration
我正在使用 yubico nfc key ,我几乎设法注册了安全 key 。我从服务器发送一个随机字节挑战来注册 key 和其他数据。
当我注册 key 时,我设法解码了 clientDataJson 和身份验证响应以检索大量信息。但是我不知道如何处理 credentialId 和 authData 缓冲区,我尝试对它们进行解码、解密,但我总是得到一些奇怪的数据,没有任何东西看起来像 credentialId 或公钥。
这是我目前得到的代码
var createCredentialDefaultArgs = {
publicKey: {
// Relying Party (a.k.a. - Service):
rp: {
name: 'Dummy'
},
// User:
user: {
id: new Uint8Array(16),
name: 'John Doe',
displayName: 'Mr Doe'
},
pubKeyCredParams: [{
type: "public-key",
alg: -7
}],
attestation: "direct",
timeout: 60000,
challenge: new Uint8Array(/* stuff*/).buffer
}
};
$('[data-register-webauthn]')
.on('click', function () {
// register / create a new credential
navigator.credentials.create(createCredentialDefaultArgs)
.then((cred) => {
console.log("NEW CREDENTIAL", cred);
const utf8Decoder = new TextDecoder('utf-8');
const decodedClientData = utf8Decoder.decode(cred.response.clientDataJSON);
// parse the string as an object
const clientDataObj = JSON.parse(decodedClientData);
const decodedAttestationObj = CBOR.decode(cred.response.attestationObject);
const {authData} = decodedAttestationObj;
// get the length of the credential ID
const dataView = new DataView(new ArrayBuffer(2));
const idLenBytes = authData.slice(53, 55);
idLenBytes.forEach(
(value, index) => dataView.setUint8(
index, value)
);
const credentialIdLength = dataView.getUint16();
// get the credential ID
const credentialId = authData.slice(
55, credentialIdLength);
// get the public key object
const publicKeyBytes = authData.slice(
55 + credentialIdLength);
// the publicKeyBytes are encoded again as CBOR
const publicKeyObject = CBOR.decode(
publicKeyBytes.buffer);
console.log(publicKeyObject)
})
.catch((err) => {
console.log("ERROR", err);
});
})
最后,我不知道如何处理公钥对象和credentialId。去冷凝似乎没用。
有什么想法吗?
最佳答案
I always got some strange data and nothing that looks like a credentialId or a public key.
因为都是字节序列。
您从 authData
解析出的 credentialId
是由 U2F key 生成的一串随机字节(通常为 96 字节长),所以不要指望它们有意义.
publicKey
变量有点棘手,因为它是 CBOR 编码的(不是您的常规 PEM 字符串),在 publicKeyObject
中解码后应该会给您一个输出像这样:
{
1: 2, // Ellipic Curve key type
3: -7, // ES256 signature algorithm
-1: 1, // P-256 curve
-2: 0x7885DB484..., // X value
-3: 0x814F3DD31... // Y value
}
In the end, I don't know what to do with the public key object and the credentialId.
您需要凭据 ID 来识别试图针对您的网站进行身份验证的用户,并需要公钥来验证 它的身份。
从 authData
响应中提取的所有其他信息都应该被验证,但没有必要保留它,只需保存 credentialId
和 publicKeyBytes
.
此网站非常详细地解释了身份验证过程:https://webauthn.guide/#authentication
要了解如何验证签名,请查看此链接:https://w3c.github.io/webauthn/#fig-signature
关于javascript - WebAuthn 检索公钥和凭证 ID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55594680/
我是一名优秀的程序员,十分优秀!