如何区分FIDO2设备
How to distinguish FIDO2 devices
我想在webauthn中区分认证设备
我想知道这是否可能,如果可能的话我该怎么做。
不幸的是,没有简单的 WebAuthn API 函数可以调用以说“给我可用验证器的名称”。 WebAuthn API 被有意设计为难以确定身份验证器的具体品牌和型号 in the name of greater user privacy。
确定身份验证器品牌和型号的唯一可靠方法是 request direct attestation during registration, and then cross-reference the aaguid
you get back with a list you've collected and maintain yourself, or through something like the Fido Alliance Metadata Service。
Note: If you don't request "direct"
attestation you're likely to get back an obscured aaguid
:
For platform authenticators specifically 您可以尝试根据浏览器屏幕尺寸和用户代理分析等内容创建“启发式”,尝试可靠地确定系统级身份验证器是否像 Touch ID 或 Windows Hello可用。用户在您的站点成功注册凭据后,您希望将启发式分析的结果与凭据一起存储,以便稍后在身份验证期间提供 UX 提示(例如,“我们确定用户注册了 Windows Hello 凭据,因此在身份验证期间向他们显示 'Enter your Hello PIN to continue' UI。")
我想在webauthn中区分认证设备
我想知道这是否可能,如果可能的话我该怎么做。
不幸的是,没有简单的 WebAuthn API 函数可以调用以说“给我可用验证器的名称”。 WebAuthn API 被有意设计为难以确定身份验证器的具体品牌和型号 in the name of greater user privacy。
确定身份验证器品牌和型号的唯一可靠方法是 request direct attestation during registration, and then cross-reference the aaguid
you get back with a list you've collected and maintain yourself, or through something like the Fido Alliance Metadata Service。
Note: If you don't request
"direct"
attestation you're likely to get back an obscuredaaguid
:
For platform authenticators specifically 您可以尝试根据浏览器屏幕尺寸和用户代理分析等内容创建“启发式”,尝试可靠地确定系统级身份验证器是否像 Touch ID 或 Windows Hello可用。用户在您的站点成功注册凭据后,您希望将启发式分析的结果与凭据一起存储,以便稍后在身份验证期间提供 UX 提示(例如,“我们确定用户注册了 Windows Hello 凭据,因此在身份验证期间向他们显示 'Enter your Hello PIN to continue' UI。")