我是 FIDO2 的新手,我正在学习如何在华为设备中使用它。我阅读了华为的文档并测试了他们的 FIDO2 Demo App。
我注意到在演示项目中,项目代码中有一个“服务器模拟器”,所以我很好奇:我可以在应用程序中本地实现 FIDO 服务器逻辑吗?是错误的做法吗?是否会影响 FIDO 的 2 个主要流程(注册和身份验证)中所需的生物特征数据或其他数据的安全性?
另外我还有一个问题:有一个免费的 FIDO 服务器可以与最终用户的应用程序一起使用吗?
我希望有人能解决我的疑惑。
谢谢 :)
问问题
66 次
1 回答
3
不要在您的客户端应用程序中实现服务器身份验证逻辑 - 俗话说“从不信任用户输入”,服务器必须独立验证客户端响应。
对于 FIDO 服务器和服务器库,请查看https://github.com/herrjemand/awesome-webauthn
于 2021-09-21T14:27:13.493 回答