问题标签 [fido-u2f]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
authentication - 多因素身份验证 WSO2
我正在尝试在 WSO2 中实现 MFA。我根据以下链接进行了更改,但没有任何效果, https://docs.wso2.com/display/IS510/Multi-factor+Authentication+using+FIDO
我有点困惑,我们是否需要一个物理 U2F 设备来实现这个 MFA?是否有任何其他可用于 WSO2 的多因素身份验证方法/教程?
asp.net - 如何将 cookie 绑定到 IIS/OWIN 中的 TLS 会话以制作通道绑定 cookie?
通道绑定 cookie 阻止了不记名令牌的概念,并将cookie 绑定到特定的 TLS 通道。
这将如何在 OWIN、ASP.NET 5 或 ASP.NET 4.x 中实现?
node.js - 改装未按要求附加车身
我正在构建一个符合 U2F 的客户端,只需将具有以下结构的 JSON 对象发送到 POST URL:
这是我的代码的摘录,它运行良好并且没有引发错误:
调试服务器是用Node搭建的,它的POST“注册”路由每次都被客户端成功调用。问题是,请求的主体总是空的。
我想问题出在 . 上FormBody.Builder(),但我找不到任何文档或代码来说明它是如何工作的。任何帮助是极大的赞赏!
google-chrome - 具有更改主机名/IP 地址的站点上的 FIDO U2F
我有一种情况,我想在负载均衡器的管理界面上实现 FIDO U2F(使用 YubiKey),以便在登录后,为了管理系统 - U2F 必须用作额外的身份验证层。
在系统的整个生命周期内 - IP 地址和用于访问它的主机名通常会发生变化(例如,一旦它是https://192.168.0.20/,那么它就是https://lb-admin.company.com/,然后是别的东西,等等)。
问题是针对 appId(站点的 URL)注册了一个密钥,然后 appId 被编码在 keyHandle 中。有没有办法在注册密钥时允许多个 appId 甚至删除 appId 限制?
换句话说 - 注册一个 YubiKey,然后从网站的任何入口点使用它,或者即使使用与最初注册密钥不同的 IP 地址或域访问网站?
bundler - Bundler 错误消息“版本库中不存在修订版主机”
尝试从“castle/ruby-u2f”的存储库中安装 gem“u2f”时,我收到一条错误消息:
我找不到有关此错误消息的任何信息。该文本没有出现在任何捆绑程序源文件中,所以我什至不知道从哪里开始调试。
如果有人对此错误的来源和原因有任何见解,我很想知道。
java - 如何在 Java 中获取 U2F Token(例如 Yubikey Neo)的公钥和私钥
我正在尝试创建一个应用程序,该应用程序可以从 Java 语言中的 Yubikey Neo 等 U2F 令牌中检索公钥和私钥。我尝试在控制台中使用一个简单的扫描仪从 Yubikey Neo 获取任何内容,但它不起作用,因为它不会被打印(可能是因为格式),不像 OTP 会在记事本中打印出来,所以它可以是被读者捕获。
我知道像 Yubico 一样,它只提供 Javascript 中的实现,当用户触摸 U2F 令牌的按钮时能够检索公钥,但直到现在我还没有在 Java 中找到任何能够做到这一点的库。有没有办法从 U2F 令牌中获取公钥和私钥?
fido-u2f - 具有多方面 App ID 的 U2F
我们一直在我们的身份验证网络应用程序上直接使用 U2F,主机名作为我们的应用程序 ID ( https://auth.company.com ),并且运行良好。但是,我们希望能够从通过 HTTP API 与身份验证服务器通信的其他应用程序(和主机名,例如https://customer.app.com )向身份验证服务器进行身份验证。
我可以通过 API 调用生成签名请求和其他内容并将它们返回给客户端应用程序,但它在服务器端(身份验证服务器)失败,因为应用程序 ID 未验证(客户端使用他们自己的主机名作为应用程序 ID) . 这是可以理解的,但我应该如何处理呢?我已经阅读了有关方面的内容,但我根本无法让它发挥作用。
客户端应用程序 JS 是这样的:
一段时间后,这给了我一个错误代码 5(超时错误)。我没有看到对 /facets 的任何请求。有没有办法解决这个问题,或者我在叫错树(或不同的森林)?
————</p>
好的,经过几个小时的研究;我很确定 Firefox U2F 插件的这个可怕的部分是我的一些问题的根源:
https://github.com/prefiks/u2f4moz/blob/master/ext/appIdValidator.js#L106-L110
它本质上是说,如果 appID 的方案是 http,则仅在它与页面的主机完全相同的情况下才允许它(它继续执行获取可信构面 JSON 的行为,但仅适用于 https)。
仍然不确定我是否走在正确的轨道上,尽管我正在尝试设计这个。
javascript - 带有 Google Chrome 的物理安全项目
场景:用户连接 USB 笔式驱动器或其他东西,并且 web 应用程序允许用户使用选项卡。如果该对象已分离,则 webapp 将拒绝任何操作
我见过 FIDO U2F 但它无法正常工作,因为用户必须单击密钥才能将身份验证代码发送到 Chrome。如果它允许 webapp 主动轮询 usb 以获取密钥可能是一个很好的解决方案,但是,正如我所说,u2f 仅允许密钥在用户按下按钮时发送密钥。
这个问题还有其他解决方案吗?
docker - 如何在不提示输入密码的情况下使用 htdigest 创建用户
我正在编写一个 DockerFile 来使用 apache2 和 u2fval 构建映像,并且我需要使用 apache2 摘要为一个用户创建凭据。但是命令:
总是会要求用户输入密码,有没有办法让我给命令一个密码来使用(不提示用户等......)?谢谢。
java - 带有胖 java 客户端的 U2F
我想知道,是否可以使用胖 Java 客户端运行 U2F,因为我没有找到任何允许向身份验证器令牌发送查询的 Java 库。这种支持是可能的还是计划好的?