网站的 U2F 应用程序 ID(Facet ID)
U2F Application ID (Facet ID) for a web site
u2f dev guide 未指定此部分:没有 www 前缀的单面 AppId 是否适用于访问带有 www 前缀的站点的访问者?浏览器会认为它们匹配吗?
如果不是,我认为 U2F 部署有两种选择,IMO 都不太令人满意 - 我在下面解释为什么这样:
- 将所有网络用户从 www.example.com 重定向到 example.com,然后使用 "example.com" facet。
- 提供 JSON 资源,至少描述两个方面:www.example.com、example.com
现在,我说过必须明确地处理 "www." 并不令人愉快。我的理由是单站点 SSL 证书(包括更勤奋的 EV 证书)对 Web 用户透明地处理 www 前缀 URL。我看不出为什么 U2F 会认为这是一个安全漏洞并需要一种明确的方法来处理它。
除非有 JSON 资源支持,否则浏览器不会将它们视为匹配项。请参阅 FIDO AppID 和 Facet 规范 v1.0:Section 3.1 Processing Rules for AppID and FacetID Assertions。
u2f dev guide 未指定此部分:没有 www 前缀的单面 AppId 是否适用于访问带有 www 前缀的站点的访问者?浏览器会认为它们匹配吗?
如果不是,我认为 U2F 部署有两种选择,IMO 都不太令人满意 - 我在下面解释为什么这样:
- 将所有网络用户从 www.example.com 重定向到 example.com,然后使用 "example.com" facet。
- 提供 JSON 资源,至少描述两个方面:www.example.com、example.com
现在,我说过必须明确地处理 "www." 并不令人愉快。我的理由是单站点 SSL 证书(包括更勤奋的 EV 证书)对 Web 用户透明地处理 www 前缀 URL。我看不出为什么 U2F 会认为这是一个安全漏洞并需要一种明确的方法来处理它。
除非有 JSON 资源支持,否则浏览器不会将它们视为匹配项。请参阅 FIDO AppID 和 Facet 规范 v1.0:Section 3.1 Processing Rules for AppID and FacetID Assertions。