Questa pagina è stata tradotta dall'API Cloud Translation.

Introduzione all'implementazione delle passkey lato server

Panoramica

Quando si utilizzano le passkey sincronizzate, le persone autenticano con un fornitore di passkey.

Per creare e autenticarti con le passkey, utilizzerai l'API WebAuthn per il web o l'API Credential Manager per le app per Android. Queste API gestiscono la comunicazione tra il client e il provider di passkey.

Anche se queste API sono chiamate da un client come una pagina web o un'app per Android, per completare i casi d'uso dell'autenticazione devi implementare le altre funzionalità sul server.

L'implementazione di una passkey è costituita da due funzionalità:

Registrazione con passkey. Utilizza l'API WebAuthn o l'API Credential Manager per consentire all'utente di creare una passkey. Archivia la chiave pubblica associata sul server.
Autenticazione con una passkey. Ricevi una verifica di autenticazione dal server e utilizza l'API WebAuthn o Credential Manager per consentire all'utente di firmare questa verifica con la propria passkey. Verifica la firma sul server. Se la firma è valida, esegui l'autenticazione dell'utente.

Librerie lato server

Sebbene sia possibile implementare la funzionalità delle passkey lato server da zero, ti consigliamo di usare una libreria.

Un server che supporta la creazione e l'autenticazione di una passkey è chiamato server FIDO2 o server FIDO in breve. Per estensione, faremo riferimento alle librerie lato server che implementano il supporto delle passkey come librerie lato server FIDO.

Perché utilizzare una libreria?

L'utilizzo di una libreria lato server FIDO presenta diversi vantaggi:

Tempo ed esperienza degli sviluppatori. La specifica WebAuthn è complessa. Le librerie FIDO lato server possono fornire semplici API per l'implementazione delle passkey, consentendoti di risparmiare tempo e risorse di sviluppo.
Manutenibilità. La specifica WebAuthn è ancora soggetta a modifiche. L'utilizzo della versione più recente di una libreria gestita attivamente consente di mantenere aggiornata l'implementazione.
Sicurezza e conformità. Vuoi che l'implementazione della passkey sia conforme alla specifica WebAuthn e ai relativi requisiti di sicurezza. Le librerie FIDO lato server possono aiutarti a mantenere l'implementazione sicura e conforme alle specifiche. A seconda del prodotto e del settore, la tua implementazione potrebbe anche essere soggetta a normative che richiedono l'uso di standard di sicurezza specifici per l'autenticazione.

Se possibile, prendi in considerazione il supporto finanziario per i progetti open source su cui fa affidamento il tuo prodotto.

Librerie

Il repository GitHub awesome-webauthn include un elenco di librerie lato server selezionato dalla community. Troverai librerie per JavaScript e TypeScript, Go, Python e altro ancora.
Una raccolta di librerie è disponibile su passkeys.dev ed è gestita dal W3C WebAuthn Adoption Community Group.
FIDO Alliance fa riferimento a una raccolta di server FIDO2.