我已经看过WebAuthn4J Spring Security。我不是在问“我使用什么库来实现 yubikey 身份验证”,我的问题是“如何使用 spring 安全框架执行 4 路身份验证?”。Spring security 似乎有这样一种思想,即您可以在 2 次握手中执行任何类型的身份验证,但这对于 yubikey 身份验证是不可能的,因为这些步骤是
- 客户端发送用户名
- 服务器为该用户名发送挑战
- 客户签署挑战
- 服务器接受或拒绝客户端签名
服务器在被告知用户名之前无法发送质询,并且客户端在发送质询之前没有任何可签名的内容。如何指示我需要 4 个步骤而不仅仅是 2 个步骤的 spring 安全框架?