我有一种情况,我想在负载均衡器的管理接口上实现FIDO U2F(使用YubiKey),以便在登录后,为了管理系统 - 必须使用U2F作为额外的身份验证层
在整个系统的生命周期内 - IP地址和用于访问它的主机名发生变化是很常见的(例如,一旦它https://192.168.0.20/,那么它是https://lb-admin.company.com/,那么它就是其他东西,等等)。
问题是正在针对appId(网站的URL)注册密钥,然后appId在keyHandle中编码。有没有办法允许多个appIds甚至在注册密钥时删除appId限制?
换句话说 - 注册一个YubiKey然后从网站的任何入口点使用它,或者即使使用与最初注册密钥的IP地址或域不同的域访问网站?
答案 0 :(得分:2)
是的,您可以使用多个子域名使用不同的主机名购买已注册的U2F密钥...所以它可以是lb-admin.company.com和lb-login.company.com以及whatever.company.com等等。 (不要使用IP)
为此,您的AppId引用应指向将作为TrustedFacetList处理的在线json文件。
真实世界的例子......以下是执行此操作的官方GitHub AppID: https://github.com/u2f/trusted_facets
此处描述了所有细节和规则: FIDO AppID和Facet规范(FacetID) https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009.html