当客户端可发现的常驻密钥与 WebAuthN 一起使用时,依赖方不必首先识别尝试登录的用户。那么 RP 是如何知道哪个用户登录的呢?RP 是否只收到 AuthenticatorAssertionResponse 并从中获取 user.id?
问问题
106 次
1 回答
1
断言响应中的值response.userHandle可用于识别正在登录的用户——它将等于传递给.user.idPublicKeyCredentialCreationOptionsnavigator.credentials.create()
userHandle 是一个可能未定义的值,但是当在证明期间需要常驻密钥时,身份验证器必须记住用户 ID -请参阅操作的步骤 7.4authenticatorMakeCredential(用户句柄是身份验证器在其内部凭证映射中使用的密钥的一部分,以记住可发现的给定 RP ID 和用户句柄的凭证)。
于 2021-05-06T00:41:36.160 回答