lbuchs/WebAuthn

Una sencilla biblioteca de servidores PHP WebAuthn (FIDO2).

Demostración de trabajo simple para la lbuchs/WebAuthn biblioteca.

Utilice Credenciales / Claves de acceso detectables del lado del cliente Advertencia: la mayoría de los módulos y autenticadores del lado del cliente no permiten eliminar credenciales del lado del cliente individuales. Tienes que restablecer el dispositivo completo para eliminar las credenciales de nuevo.

Entidad de confianza

Una cadena de dominio válida que identifica a la entidad de confianza en WebAuthn
en cuyo nombre se está realizando una determinada ceremonia de registro o autenticación.

RP ID:

Usuario

User ID (Hex): obtienes el ID de usuario de vuelta al comprobar el registro (como userHandle), si estás usando credenciales detectables del lado del cliente. Puede identificar con este ID al usuario que desea iniciar sesión. Un identificador de usuario es una secuencia de bytes opaca con un tamaño máximo de 64 bytes, y no está destinado a mostrarse al usuario. El identificador de usuario NO DEBE contener información de identificación personal sobre el usuario, como un nombre de usuario o una dirección de correo electrónico.

Nombre de usuario: solo para visualización, es decir, ayudando al usuario a determinar la diferencia entre cuentas de usuario con nombres de visualización similares.

Nombre de visualización del usuario: Un nombre humano agradable para la cuenta de usuario, destinado únicamente a la visualización.

verificación de usuario

requerida Se requiere la verificación del usuario (por ejemplo, por pin), la operación fallará si la respuesta no tiene la bandera UV.

preferida Se prefiere la verificación de usuario, la operación no fallará si la respuesta no tiene el indicador UV.

desaconsejada La verificación de usuario no debe emplearse para minimizar la interacción del usuario durante el proceso.

tipo de autentificador

USB

NFC

BLE

híbridas Claves de acceso a través del dispositivo móvil, ...

internas Claves de acceso en el dispositivo, Windows Hello, Android SafetyNet, Apple, ...

certificación

formato de declaración de certificación

android-key

android-safetynet

apple

fido-u2f

none

packed

tpm

certificados raíz de certificación

Aceptar claves firmadas por FIDO Alliance Metadata Service

Aceptar claves firmadas por apple root ca

Aceptar claves firmadas por yubico root ca

Aceptar claves firmadas por solokeys root ca

Aceptar claves firmadas por hypersecu root ca

Aceptar claves firmadas por google root ca

Aceptar claves firmadas por Microsofts collection of trusted TPM root ca

(Nada marcado = aceptar todo)

Si selecciona una raíz ca, se requiere una certificación directa para validar a su cliente con la raíz.
El navegador puede advertirle que proporcionará información sobre su dispositivo.
Cuando no se esté comprobando con ninguna raíz ca (deseleccione todos los certificados), el cliente puede cambiar la aserción del autenticador (por ejemplo, usando una CA de anonimización),
es posible que el navegador no le avise que proporcionará información sobre su dispositivo.

Aquí puedes ver lo que es guardado en el servidor: