问题标签 [fido-u2f]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-chrome - 如何使用 FIDO U2F 允许用户通过我的网站进行身份验证?
随着最近关于 FIDO U2F 规范的所有讨论,我想在测试平台上实现 FIDO U2F 测试,为即将推出的最终规范做好准备。
到目前为止,我有一个由 Yubico 生产的 FIDO U2F 安全密钥和安装在 Chrome 中的 FIDO U2F(通用 2nd Factor)扩展。我还设法设置了安全密钥以使用我的 Google 登录。
现在,我不确定如何将这些东西用于我自己的网站。我浏览了 Google 的 Github 页面以了解 U2F 项目,并检查了他们的网络应用程序前端。它看起来非常简单(仅限 JavaScript)。那么使用 FIDO 实现第二因素身份验证就像实现几个 JavaScript 调用一样简单吗?示例中的注册似乎发生的所有事情都是这样的:
但是我如何自己使用它来实现呢?我可以使用此方法调用的回调进行用户注册吗?
javascript - 没有 U2F Chrome 扩展的 U2F 支持
我已经开始摆弄 U2F,它看起来很有希望。给自己弄了一些安全密钥并开始深入研究。我设法创建了一个有效的注册/登录演示网站,该网站使用 U2F 令牌和 U2F Chrome 扩展程序运行良好。
然而......这就是我的问题出现的地方:我还为我的 Google 帐户注册了一个安全密钥,并立即被它在不使用 U2F Chrome 扩展程序的情况下工作的事实所震惊。事实上,我已经完成了所有的谷歌注册和登录,甚至没有安装扩展。这怎么可能?我已经阅读了(部分)FIDO 规范,发现可能有两个 API 级别:high - 这是扩展公开的 u2f 命名空间,而 low - 涉及使用 MessagePort API。也许这就是谷歌的做法?(也尝试自己做一个 chrome.runtime.connect(...) ,但 chrome.runtime 对象在我的网页中未定义)
在这一刻,任何指向正确方向的指针都将受到赞赏和巨大的价值,因为在这个名为 U2F 的年轻项目上可用的资源并不多。
two-factor-authentication - 网站的 U2F 应用程序 ID(Facet ID)
u2f开发指南未指定这部分:没有 www 前缀的单面 AppId 是否适用于使用 www 前缀访问站点的访问者?浏览器会认为它们是匹配的吗?
如果不是,我相信 U2F 部署有两种选择,IMO 都不是很愉快 - 我在下面解释为什么会这样:
- 将所有网络用户从 www.example.com 重定向到 example.com,然后使用“example.com”方面。
- 提供至少描述两个方面的 JSON 资源:www.example.com、example.com
现在,我说不得不处理“www”。明确地是不愉快的。我的理由是单站点 SSL 证书(包括更勤奋的证书,如 EV-certs)对 Web 用户透明地处理 www-prefix URL。我认为 U2F 没有理由认为这是一个安全漏洞并需要一种明确的方式来处理它。
authentication - 哪些网站支持 U2F?
FIDO 联盟的通用第二因素 (U2F) 是一种新的、有前途的密码替换方法。FIDO 联盟由许多参与者组成,但到目前为止似乎只有谷歌网站支持它。我可以使用其他网站使用我的 U2F 令牌登录吗?
security - U2F 多方面 AppID 在 Chromium v40.x 中不起作用
我使用 U2F 对 Web 服务的用户进行身份验证。
当我以“ https://example.com ”的形式使用单面 AppID 部署 U2F 时,一切正常。但是,当我尝试在 Yubico 密钥注册或身份验证期间向 Chrome 浏览器提供多方面 AppID 时,Chrome 会立即拒绝 AppID(我收到错误代码 #2),而不是下载 JSON 文件。
问题:当前的 Chrome U2F 扩展(v0.9.6)是否包含对多方面 AppID 的支持?
browser - FIDO U2F 令牌 Web 浏览器兼容性
我正在尝试将U2F身份验证集成到 GWT 项目中,我需要知道此解决方案是否与所有新的 Web 浏览器(Firefox、Internet Explorer、Safari ......)兼容?通常在谷歌浏览器中,我必须安装一个名为“FIDO U2F (Universal 2nd Factor ) extension”的插件。其他浏览器也一样吗?
如果没有新的网络浏览器插件,有什么方法可以工作吗?
javascript - Fido U2F客户端javascript源代码
我正在寻找一个 JavaScript 源代码(客户端)来在 Fido U2F 令牌和 Google Chrome(版本 41.0.2272.89 m)之间进行通信。
请帮我
javascript - 使用 u2f-api.js 客户端测试
我正在尝试在警报(Google chrome V41)上显示来自 Fido U2F 令牌的注册响应,如下所示:
但由于某种原因,此代码无法正常工作。即使单击令牌按钮后,我也看不到警报。
javascript - U2F JavaScript for Client Side in GWT (JSNI)
I'm trying to get response from U2F Token in GWT project using this source code:
for some reasons I get The Alerts like so:
- (Alert 2) first with "Clear" result
- (Alert 3) with "Clear"
- (Alert 1) with Token response
Normally I've to get (Alert 1) with Token response then 2,3. So how can I stop execution until I'll get the token response Thank you,
javascript - 无法从 Chromebook 登录窗口注册 U2F 令牌
我们有自己的 SSO 服务器,它具有允许在身份验证过程中注册 U2F 令牌的功能。
此功能在使用 Chrome(带有或不带有 U2F 浏览器扩展程序)的 PC 上运行良好。在用户成功通过身份验证后,在 Chromebook 上的浏览器中使用它也能正常工作。
但是,当我们在 Chromebook 上启用 SSO 并尝试在身份验证过程中注册 U2F 令牌时,注册似乎不起作用。经过一些调试,我们发现在向通道onMessage
发送 U2F 注册请求后没有调用事件侦听器。u2f_register_request
但是,签名请求并非如此(在使用 PC 注册后进行身份验证时)。当我们向我们发送请求时,u2f_sign_request
我们成功地收到了onMessage
回调消息。
有没有人遇到过这个问题?或者知道可以让我们在身份验证过程中执行注册的解决方法?
下面显示了一些用于发布到频道的代码:
// 1. 连接到扩展
// 2.绑定回调函数
// 3. 将消息发布到扩展。
正在使用的代码可以在(https://github.com/Yubico/java-u2flib-server/blob/master/u2flib-server-demo/src/main/resources/assets/u2f-api.js)找到
Chromebook 信息如下:
Google Chrome 版本(和 Chromebook 信息)
版本:43.0.2357.125
框架版本:6946.58.0(官方构建)稳定通道 kip
软件版本:Google_Kip.5216.227.5
启动模式:已验证
型号:HP Chromebook 11 2100-2199 / HP Chromebook 11 G3