我有一种情况,我想在负载均衡器的管理界面上实现 FIDO U2F(使用 YubiKey),以便在登录后,为了管理系统 - U2F 必须用作额外的身份验证层。
在系统的整个生命周期内 - IP 地址和用于访问它的主机名通常会发生变化(例如,一旦它是https://192.168.0.20/,那么它就是https://lb-admin.company.com/,然后是别的东西,等等)。
问题是针对 appId(站点的 URL)注册了一个密钥,然后 appId 被编码在 keyHandle 中。有没有办法在注册密钥时允许多个 appId 甚至删除 appId 限制?
换句话说 - 注册一个 YubiKey,然后从网站的任何入口点使用它,或者即使使用与最初注册密钥不同的 IP 地址或域访问网站?
是的,您可以使用多个子域使注册的 U2F 密钥与不同的主机名一起使用......所以它可以是 lb-admin.company.com 和 lb-login.company.com 和whatever.company.com 等等。(不要使用IP)
为此,您的 AppId 引用应指向将作为 TrustedFacetList 处理的在线 json 文件。
真实世界的例子......这是实现这个的官方 GitHub AppID: https ://github.com/u2f/trusted_facets
此处描述了所有详细信息和规则:FIDO AppID 和 Facet 规范 (FacetID) https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009。 html