我开始摆弄U2F,看起来很有前途。得到了一些安全密钥,并开始深入研究它。 我已经设法创建了一个工作注册/登录演示网站,该网站可以很好地使用U2F令牌和U2F Chrome扩展程序。
然而......这就是我的问题所在: 我还为我的Google帐户注册了一个安全密钥,并立刻被它无需使用U2F Chrome扩展程序即可使用。事实上,我已经完成了所有Google注册和登录,甚至没有安装扩展程序。这怎么可能?我已阅读(部分)FIDO规范,并发现可能有两个API级别:高 - 这是扩展程序公开的u2f命名空间,而且 - 低 - 涉及使用MessagePort API。也许谷歌是这样做的? (我也试过自己做chrome.runtime.connect(...),但我的网页中没有定义chrome.runtime对象)
在这个时刻,任何指向正确方向的指针都会受到赞赏并且具有很大的价值,因为这个年轻的项目U2F没有太多可用的资源。
答案 0 :(得分:7)
Chrome是白色列出Google域名。非Google域名目前必须使用该扩展程序。但是,根据Google的说法,这将“很快”发生变化 - 记录here并由Google开发人员in this webinar提及。
修改:Chrome 41不再需要此扩展程序。您可以对其here进行测试(注意:从Chrome版本和旧版本访问时,或者不通过HTTPS访问,网站将回退使用扩展名。)