FIDO 认证

身份验证中涉及的实体的表示:服务器、Web 浏览器和设备。

FIDO(Fast IDentity Online)身份验证是一套快速、简单、强大的身份验证标准。

这些标准由 FIDO 联盟制定,该联盟是一个行业协会,其代表来自一系列组织,包括谷歌、微软、Mozilla 和 Yubico。这些标准支持网络钓鱼、无密码和多因素身份验证。他们通过使强身份验证更易于实施和使用来改善在线用户体验。

一些网络上最流行的工具和应用程序已经在使用 FIDO 身份验证,包括 Google 帐户、Dropbox、GitHub、Twitter 和 Yahoo Japan。


  • 用户赢了。用户受益于快速且安全的身份验证流程。

  • 开发商赢。应用程序和 Web 开发人员可以使用简单的 API 来安全地对用户进行身份验证。

  • 企业赢。网站所有者和服务提供商可以更有效地保护他们的用户。

FIDO 身份验证如何工作?

在FIDO的认证流程,依赖方使用API来与用户的交互认证

信赖方

Web 应用程序和 Web 服务器之间的安全链接的表示。

依赖方为您服务,后端服务器和前端应用程序组成。

应用

在认证或登记流量,应用程序使用客户端API等WebAuthnFIDO2为Android创建和验证与认证用户凭据。

这涉及将加密挑战从服务器传递给验证器,并将验证器的响应返回给服务器以进行验证。

服务器

服务器存储用户的公钥凭据和帐户信息。

在身份验证或注册流程中,服务器会生成加密质询以响应来自应用程序的请求。然后它评估对挑战的响应。

FIDO联盟保持认证的第三方产品,包括服务器解决方案的列表。许多开源 FIDO 服务器也可用;看到WebAuthn真棒了解更多信息。

身份验证器

用户即将在移动设备上登录 Web 应用程序。

甲FIDO认证器生成的用户凭证。用户凭证同时具有公钥和私钥组件。公钥与您的服务共享,而私钥由身份验证器保密。

验证器可以是用户设备的一部分,也可以是外部硬件或软件。

认证者在两个基本交互使用:注册认证

登记

在注册场景中,当用户在网站上注册帐户时,身份验证器会生成一个只能在您的服务上使用的新密钥对。证书的公钥和标识符将与服务器一起存储。

验证

在身份验证场景中,当用户在新设备上返回服务时,或者在他们的会话过期后,身份验证器必须提供用户私钥的证明。它通过响应服务器发出的加密挑战来实现这一点。

为了验证用户的身份,某些类型的身份验证器使用生物识别技术,例如指纹或面部识别。其他人使用 PIN。在某些情况下,密码用于验证用户,而身份验证器仅提供第二因素身份验证。

下一步

拿一个代码实验室:

学习更多关于: