Question

我已遵循本教程https://webauthn.guide/#registration

我正在使用yubico nfc密钥，我几乎设法注册了安全密钥。我从服务器发送了一个随机字节询问以注册密钥和其他数据。

注册密钥时，我设法对clientDataJson和身份验证响应进行解码以检索大量信息。但是，我无法弄清楚credentialId和authData缓冲区的处理方式，我尝试对其进行解码，解密，但我总是收到一些奇怪的数据，而且看起来像credentialId或公钥。

这是我到目前为止得到的代码

 var createCredentialDefaultArgs = {
            publicKey: {
                // Relying Party (a.k.a. - Service):
                rp: {
                    name: 'Dummy'
                },

                // User:
                user: {
                    id: new Uint8Array(16),
                    name: 'John Doe',
                    displayName: 'Mr Doe'
                },

                pubKeyCredParams: [{
                    type: "public-key",
                    alg: -7
                }],

                attestation: "direct",

                timeout: 60000,

                challenge:  new Uint8Array(/* stuff*/).buffer
            }
        };


        $('[data-register-webauthn]')
            .on('click', function () {
                // register / create a new credential
                navigator.credentials.create(createCredentialDefaultArgs)
                    .then((cred) => {
                        console.log("NEW CREDENTIAL", cred);

                        const utf8Decoder = new TextDecoder('utf-8');

                        const decodedClientData = utf8Decoder.decode(cred.response.clientDataJSON);

                        // parse the string as an object
                        const clientDataObj = JSON.parse(decodedClientData);

                        const decodedAttestationObj = CBOR.decode(cred.response.attestationObject);

                        const {authData} = decodedAttestationObj;
                        // get the length of the credential ID
                        const dataView = new DataView(new ArrayBuffer(2));
                        const idLenBytes = authData.slice(53, 55);
                        idLenBytes.forEach(
                            (value, index) => dataView.setUint8(
                                index, value)
                        );
                        const credentialIdLength = dataView.getUint16();

                        // get the credential ID
                        const credentialId = authData.slice(
                            55, credentialIdLength);

                        // get the public key object
                        const publicKeyBytes = authData.slice(
                            55 + credentialIdLength);

                        // the publicKeyBytes are encoded again as CBOR
                        const publicKeyObject = CBOR.decode(
                            publicKeyBytes.buffer);
                        console.log(publicKeyObject)
                    })
                    .catch((err) => {
                        console.log("ERROR", err);
                    });
            })

最后，我不知道如何处理公钥对象和credentialId。侦错似乎没用。

有什么想法吗？

Answer 1

我总是得到一些奇怪的数据，看起来像是credentialId或公钥。

那是因为它们都是字节序列。

您从credentialId解析的authData是由U2F密钥生成的一串随机字节（通常为96个字节长），所以不要指望那些有意义。

publicKey变量比较棘手，因为它是CBOR编码的（不是您的常规PEM字符串），在publicKeyObject中对其进行解码后，应该会给您这样的输出：

{
   1: 2,              // Ellipic Curve key type
   3: -7,             // ES256 signature algorithm
  -1: 1,              // P-256 curve
  -2: 0x7885DB484..., // X value
  -3: 0x814F3DD31...  // Y value
}

最后，我不知道如何处理公钥对象和credentialId。

您需要凭据ID 来识别要对您的网站进行身份验证的用户，并需要公钥来进行验证其身份。

从authData响应中提取的所有其他信息都应经过验证，但无需保留，只需保存credentialId和publicKeyBytes对即可。

该网站详细解释了身份验证过程：https://webauthn.guide/#authentication

要了解如何验证签名，请检查以下链接：https://w3c.github.io/webauthn/#fig-signature

Answer 2

Credential ID和Credential Public Key值都是非human palatable字节字符串。

关于如何处理它们。您可以将它们存储在数据库中的用户数据旁边或服务器正在使用的任何其他长期存储中，以便将来将其用作将来的身份验证仪式的输入。

WebAuthn检索公钥和凭据ID

2 个答案: