Giới thiệu về cách triển khai khoá truy cập phía máy chủ

Tổng quan

Khi sử dụng khoá truy cập đã đồng bộ hoá, người dùng sẽ xác thực bằng trình cung cấp khoá truy cập.

Để tạo và xác thực bằng khoá truy cập, bạn sẽ dùng API WebAuthn cho web hoặc API Trình quản lý thông tin xác thực cho ứng dụng Android. Các API này xử lý hoạt động giao tiếp giữa ứng dụng và trình cung cấp khoá truy cập.

Mặc dù các API này được gọi từ ứng dụng, chẳng hạn như trang web hoặc ứng dụng Android, nhưng bạn cần triển khai chức năng còn lại trên máy chủ để hoàn tất các trường hợp sử dụng xác thực của mình.

Quá trình triển khai khoá truy cập bao gồm hai chức năng:

1. Đăng ký khoá truy cập. Dùng API WebAuthn hoặc API Trình quản lý thông tin xác thực để cho phép người dùng tạo khoá truy cập. Lưu trữ khoá công khai đã liên kết trên máy chủ.
2. Xác thực bằng khoá truy cập. Nhận yêu cầu xác thực từ máy chủ và sử dụng API WebAuthn hoặc API Trình quản lý thông tin xác thực để cho phép người dùng ký tên xác thực này bằng khoá truy cập của họ. Xác minh chữ ký trên máy chủ. Nếu chữ ký hợp lệ, hãy xác thực người dùng.

Thư viện phía máy chủ

Mặc dù có thể triển khai chức năng khoá truy cập phía máy chủ từ đầu, nhưng bạn nên sử dụng thư viện.

Máy chủ hỗ trợ tạo và xác thực khoá truy cập được gọi là máy chủ FIDO2 hoặc gọi tắt là máy chủ FIDO. Ngoài ra, chúng ta sẽ tham chiếu đến các thư viện phía máy chủ triển khai hỗ trợ khoá truy cập dưới dạng thư viện phía máy chủ của FIDO.

Tại sao bạn nên sử dụng thư viện?

Việc sử dụng thư viện phía máy chủ FIDO có một số lợi ích sau:

• Thời gian và trải nghiệm của nhà phát triển. Quy cách WebAuthn rất phức tạp. Các thư viện phía máy chủ của FIDO có thể cung cấp các API đơn giản để triển khai khoá truy cập, nhờ đó giúp bạn tiết kiệm thời gian và tài nguyên phát triển.
• Khả năng bảo trì. Quy cách WebAuthn vẫn có thể thay đổi. Việc sử dụng phiên bản mới nhất của một thư viện được duy trì liên tục sẽ giúp đảm bảo quá trình triển khai của bạn luôn được cập nhật.
• Tính bảo mật và tính tuân thủ. Bạn muốn việc triển khai khoá truy cập tuân thủ quy cách của WebAuthn và các yêu cầu về bảo mật của web. Các thư viện phía máy chủ của FIDO có thể giúp bạn bảo mật quy trình triển khai và tuân thủ quy cách. Tuỳ vào sản phẩm và ngành của bạn, việc triển khai cũng có thể phải tuân theo các quy định yêu cầu bạn sử dụng một số tiêu chuẩn bảo mật cụ thể để xác thực.

Nếu có thể, hãy cân nhắc việc hỗ trợ tài chính cho các dự án nguồn mở mà sản phẩm của bạn dựa vào.

Thư viện

• Kho lưu trữ awesome-webauthn trên GitHub bao gồm một danh sách thư viện phía máy chủ do cộng đồng tuyển chọn. Bạn sẽ tìm thấy các thư viện dành cho JavaScript và TypeScript, Go, Python, v.v.
• Bộ sưu tập thư viện hiện có trên passkeys.dev. Bộ sưu tập này do Nhóm cộng đồng sử dụng W3C WebAuthn duy trì.
• Liên minh FIDO tham chiếu đến một tập hợp máy chủ FIDO2.

Tiếp theo

• Đăng ký khoá truy cập phía máy chủ
• Xác thực khoá truy cập phía máy chủ