1

我已按照本教程https://webauthn.guide/#registration

我正在使用 yubico nfc 密钥,我几乎设法注册了安全密钥。我从服务器发送一个随机字节质询来注册密钥和其他数据。

当我注册密钥时,我设法解码了 clientDataJson 和身份验证响应以检索大量信息。但是,我无法弄清楚如何处理 credentialId 和 authData 缓冲区,我尝试对它们进行解码、解密,但我总是得到一些奇怪的数据,而且没有任何东西看起来像 credentialId 或公钥。

这是我到目前为止得到的代码

 var createCredentialDefaultArgs = {
            publicKey: {
                // Relying Party (a.k.a. - Service):
                rp: {
                    name: 'Dummy'
                },

                // User:
                user: {
                    id: new Uint8Array(16),
                    name: 'John Doe',
                    displayName: 'Mr Doe'
                },

                pubKeyCredParams: [{
                    type: "public-key",
                    alg: -7
                }],

                attestation: "direct",

                timeout: 60000,

                challenge:  new Uint8Array(/* stuff*/).buffer
            }
        };


        $('[data-register-webauthn]')
            .on('click', function () {
                // register / create a new credential
                navigator.credentials.create(createCredentialDefaultArgs)
                    .then((cred) => {
                        console.log("NEW CREDENTIAL", cred);

                        const utf8Decoder = new TextDecoder('utf-8');

                        const decodedClientData = utf8Decoder.decode(cred.response.clientDataJSON);

                        // parse the string as an object
                        const clientDataObj = JSON.parse(decodedClientData);

                        const decodedAttestationObj = CBOR.decode(cred.response.attestationObject);

                        const {authData} = decodedAttestationObj;
                        // get the length of the credential ID
                        const dataView = new DataView(new ArrayBuffer(2));
                        const idLenBytes = authData.slice(53, 55);
                        idLenBytes.forEach(
                            (value, index) => dataView.setUint8(
                                index, value)
                        );
                        const credentialIdLength = dataView.getUint16();

                        // get the credential ID
                        const credentialId = authData.slice(
                            55, credentialIdLength);

                        // get the public key object
                        const publicKeyBytes = authData.slice(
                            55 + credentialIdLength);

                        // the publicKeyBytes are encoded again as CBOR
                        const publicKeyObject = CBOR.decode(
                            publicKeyBytes.buffer);
                        console.log(publicKeyObject)
                    })
                    .catch((err) => {
                        console.log("ERROR", err);
                    });
            })

最后,我不知道如何处理公钥对象和credentialId。解压似乎没用。

任何想法 ?

4

2 回答 2

5

我总是得到一些奇怪的数据,没有任何看起来像 credentialId 或公钥的数据。

那是因为两者都是字节序列。

credentialId您从中解析的是authData由 U2F 密钥生成的一串随机字节(通常为 96 字节长),因此不要指望那些有意义。

publicKey变量有点棘手,因为它是 CBOR 编码的(不是您的常规 PEM 字符串),在解码后publicKeyObject应该会给您这样的输出:

{
   1: 2,              // Ellipic Curve key type
   3: -7,             // ES256 signature algorithm
  -1: 1,              // P-256 curve
  -2: 0x7885DB484..., // X value
  -3: 0x814F3DD31...  // Y value
}

最后,我不知道如何处理公钥对象和credentialId。

您需要凭据 ID识别尝试对您的网站进行身份验证的用户,并需要公钥验证其身份。

从响应中提取的所有其他信息authData都应该经过验证,但不需要保留它,只需保存对credentialIdpublicKeyBytes.

该网站详细解释了身份验证过程:https ://webauthn.guide/#authentication

要了解如何验证签名,请查看此链接:https ://w3c.github.io/webauthn/#fig-signature

于 2019-04-11T17:28:29.387 回答
0

凭据 ID凭据公钥值都是非人类可口的字节字符串。

关于如何处理他们。您将它们存储在数据库中的用户数据或服务器正在使用的任何其他长期存储的旁边,因此您可以将它们用作未来身份验证仪式的输入。

于 2019-04-09T19:29:56.627 回答