问题标签 [fido]

为了解决这个问题，我要做的就是使用安全密钥（FIDO2 安全密钥）和我的 Microsoft 帐户（hotmail）登录我的电脑。有谁知道我怎样才能最好地做到这一点？

我尝试使用 Azure AD 的详细信息：

我有一个 AAD 租户，其中已为所有用户启用了安全密钥。在 AAD 中创建用户时，在http://myprofile.microsoft.com/中为该用户设置密钥，然后 AAD 加入我的 PC，我可以使用该特定帐户的注册安全密钥登录到我的 PC。

但是，如果我邀请具有常规“@outlook”或“@hotmail”帐户的外部用户加入我的 AAD，我将无法登录http://myprofile.microsoft.com/，因为该用户未添加到“Microsoft 服务” “租户并且无法访问应用程序'19db86c3-b2b9-44cc-b339-36da233a3be2'（我的访问）。相反，我尝试在 account.microsoft.com 中为 Microsoft 帐户设置安全密钥。

由于我的 PC 与 AAD 用户一起加入了 AAD，因此在登录期间存在安全选项，因此我尝试使用为该帐户设置的安全密钥登录我的 PC 上的“@hotmail”帐户。这似乎最初有效，直到它最终说“您无法使用此帐户登录。尝试另一个帐户”

有谁知道如何为常规 Microsoft 帐户设置安全密钥或如何为“Microsoft 服务”租户添加外部密钥？

谢谢！

我正在尝试向现有的 ASP.NET Web 应用程序添加 FIDO 支持，我尝试与之通信的 FIDO 服务器基于 FIDO 1.0 UAF 规范。

我曾尝试在 .NET 中处理 FIDO 1.0 UAF 操作，但到目前为止，运气不佳。

或者，我看到有一个FIDO 2.0 WebAuthn 库，但是它可以用来与 FIDO 1.0 UAF 服务器通信吗？查看 FIDO 2.0 规范并不清楚 FIDO 2.0 是否向后兼容。

为什么谷歌的方法在第一次尝试Fido2PendingIntent().launchPendingIntent时失败（没有显示指纹/密码提示）并带有错误代码：

并且，连续尝试通常会导致上述调用正常工作（提示显示指纹/密码），并且不再出现此错误。

这些是代码的主要片段：

ListenerRegistration.java：

MainActivity.java：

在失败（和成功）时，日志看起来像这样（因为即使在收到错误之后也不会抛出异常SECURITY_ERR）：

我的代码没有收到任何异常通知这一事实使我相信问题出在对Fido2PendingIntent().launchPendingIntent.

请注意，现在此代码中的异常：

我已经看过WebAuthn4J Spring Security。我不是在问“我使用什么库来实现 yubikey 身份验证”，我的问题是“如何使用 spring 安全框架执行 4 路身份验证？”。Spring security 似乎有这样一种思想，即您可以在 2 次握手中执行任何类型的身份验证，但这对于 yubikey 身份验证是不可能的，因为这些步骤是

1. 客户端发送用户名
2. 服务器为该用户名发送挑战
3. 客户签署挑战
4. 服务器接受或拒绝客户端签名

服务器在被告知用户名之前无法发送质询，并且客户端在发送质询之前没有任何可签名的内容。如何指示我需要 4 个步骤而不仅仅是 2 个步骤的 spring 安全框架？

Chrome 中提供的虚拟身份验证器扩展（虚拟身份验证器选项卡）用于在不使用物理身份验证器密钥的情况下测试/调试 FIDO2 Webauthn 身份验证机制。这在自动化测试中很有用，例如通过 Selenium。

1. 在 IAM 提供者的生产环境中是否应该允许？
2. 有没有办法在生产环境中禁用/禁止此注册？

我尝试使用虚拟身份验证器选项卡扩展设置 Google 帐户两步验证。但是 Google 不允许我们从虚拟身份验证器选项卡扩展中注册 FIDO 密钥。

当我在 Windows PC 上的 Chrome 87 上使用上述内容时，我得到“真实”

window.PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() .then(x=>{alert('x is '+x);console.log(x)})

然而，当我运行文档https://webauthndemo.appspot.com/中提到的示例并单击 ISUVPAA 按钮并在另一个选项卡的 webauth.js 中的第 421 行设置断点并单步执行时，它会返回“false”。

我一定是在做一些愚蠢的事情，但想知道当访问任何数字键盘（输入 PIN 码）肯定会产生积极的结果时，你怎么能得到“假”？

我使用 FIDO android SDK https://developers.google.com/android/reference/com/google/android/gms/fido/package-summary和 web FIDO lib https://github.com/lbuchs/WebAuthn作为服务器

为了完成身份验证，我向服务器发送以下有效负载：

字段 clientDataJSON 包含一个 base64 加密的 JSON 对象，该对象具有属性"origin":"android:apk-key-hash:fbENTvCSeR-AwJV5rrrBsb98p-jEw0c5SSOMul_KwaI"

但服务器响应错误“无效来源”。

同时，我的网络 FIDO 身份验证实现发送clientDataJSON，"origin":"https://test.afterlogic.com"在这种情况下一切正常。

如何在网络服务器上使用 android:apk-key-hash 验证来源？我将不胜感激有关如何处理此问题的任何其他想法。

我想使用WebAuthn 规范中定义的 requireResidentKey和resident-credential提供 WebAuthn 无用户名登录体验

但是，当使用Builder准备 AuthenticatorSelectionCriteria AuthenticatorSelectionCriteria进行注册时，builder 不允许设置 requireResidentKey 和 userVerification。谷歌隐藏这些界面有什么原因吗？

我们目前正在评估称为 Webauthn 并遵循 FIDO2 规范的 Keycloak 无密码登录功能。我能够自定义身份验证流程（通过 keycloak 的管理控制台）并使用 fido2 设备（我的 Mac 的平台身份验证器）登录，它工作正常。

但是我找不到通过 Webauthn 流程注册用户的选项。以下是问题：

1. keycloak 目前是否支持它？
2. 可以以编程方式管理 Webauthn 流吗？使用keycloak spring boot starter等。

谢谢

我想创建一个简单的 Blazor WASM 应用程序，用户可以通过 Windows Hello、Yubikey 等使用 FIDO2 (WebAuthn) 而不是密码（可能还有用户名）登录。

Google 没有告诉我太多关于 FIDO2 和 Blazor 的信息，我只找到了一个使用 ASP.Net Identity 的库，但我不想使用 Identity。

也许有人也遇到过这个问题？感谢帮助！