الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

خادم الخط FIDO2

خادم FIDO2 (WebAuthn) معتمد رسميًا من قبل FIDO Alliance

شهادة فيدو2

ملخص

FIDO (الهوية السريعة عبر الإنترنت) هو معيار مفتوح للمصادقة عبر الإنترنت، يهدف إلى القضاء على نقاط الضعف في كلمات المرور. يستخدم FIDO تشفير المفتاح العام بدلاً من بيانات الاعتماد المتماثلة مثل كلمات المرور أو أرقام التعريف الشخصية.

في الأساس، يقوم جهاز المستخدم بإنشاء زوج مفاتيح، وتخزين المفتاح الخاص بشكل آمن ومشاركة المفتاح العام مع الخادم. أثناء التسجيل والمصادقة، يتحدى الخادم الجهاز، ويستجيب الجهاز بتوقيع رقمي باستخدام المفتاح الخاص. يتحقق الخادم بعد ذلك من هذا التوقيع باستخدام المفتاح العام المخزن. يساعد بروتوكول الاستجابة للتحدي هذا على منع هجمات إعادة التشغيل.

ما هو FIDO2؟

FIDO2 هو تحسين لمعيار FIDO للويب والأنظمة الأساسية الأخرى، مدعومًا بمتصفحات الويب وأنظمة التشغيل الرئيسية. ويشمل عمليتين أساسيتين: التسجيل والتوثيق.

تسجيل

  • يقوم المستخدم بتحديد مصدق FIDO الذي يتوافق مع سياسة قبول الخدمة.
  • يقوم المستخدم بإلغاء قفل الموثق عبر بصمة الإصبع أو رقم التعريف الشخصي أو أي طريقة أخرى.
  • يتم إنشاء زوج مفاتيح عام/خاص؛ يتم إرسال المفتاح العام إلى الخدمة ويرتبط بحساب المستخدم، بينما يبقى المفتاح الخاص على الجهاز.
  • تتحدى الخدمة الجهاز، الذي يقوم بعد ذلك بإنشاء استجابة باستخدام المفتاح الخاص لإنهاء عملية التسجيل.

المصادقة

  • تتحدى الخدمة المستخدم لتسجيل الدخول باستخدام جهاز مسجل مسبقًا.
  • يقوم المستخدم بإلغاء قفل الموثق باستخدام نفس الطريقة المستخدمة أثناء التسجيل.
  • يقوم الجهاز بالتوقيع على تحدي الخدمة ويرسله مرة أخرى إلى الخدمة.
  • تتحقق الخدمة من التوقيع باستخدام المفتاح العام المخزن وتمنح حق الوصول.

بروتوكول التحدي والاستجابة

تستخدم كل من عمليتي التسجيل والمصادقة بروتوكول الاستجابة للتحدي لمنع هجمات إعادة التشغيل. أثناء التسجيل، يتم إرسال تحدي من الخادم إلى الجهاز ويستجيب الجهاز باستخدام مفتاحه الخاص. وبالمثل، أثناء المصادقة، يتم إرسال اختبار آخر للتحقق من هوية المستخدم. وهذا يضمن أن كل محاولة فريدة وآمنة.

لقطات الشاشة

Chrome على نظام Mac مع Touch ID

تدفق التسجيل

وحدات

  • خادم رب :
    • عرض خادم RP
    • يعتمد على المشترك
  • شائع :
    • فئات الرسائل التي يتم الرجوع إليها بشكل شائع بواسطة خادم FIDO2 وخادم RP
  • جوهر :
    • يحتوي على منطق المجال الأساسي لـ FIDO
    • إذا كان خادم FIDO2 الذي يتم تنفيذه لا يتفاعل مع RDB، فيجب استخدام هذه الوحدة وحدها
    • يعتمد على المشترك
  • قاعدة :
    • يحتوي على فئات تعتمد على Spring JPA
      • فئات تنفيذ الخدمة، واجهات المستودع، فئات الكيان
    • يعتمد على الأساسية
  • عرض :
    • التطبيق التجريبي لخادم FIDO2
    • يعتمد على القاعدة

سمات

  • أنواع الشهادات المدعومة:
    • أساسي
    • النفس
    • شهادة CA (CA الخصوصية)
    • لا أحد
    • إخفاء الهوية CA
  • صيغ التصديق المدعومة:
    • معبأة
    • TPM
    • شهادة مفتاح أندرويد
    • أندرويد سيفتي نت
    • فيدو U2F
    • أبل مجهول
    • لا أحد
  • تكامل خدمة البيانات الوصفية:
    • فيدو MDSv3

كيفية التشغيل

التشغيل اليدوي

بدء تشغيل خادم RP وخادم FIDO2: 

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

عامل ميناء للعرض التوضيحي

إذا قمت بتكوين Docker، فيمكنك استخدام docker-compose. 

 # Start both RP Server and FIDO2 Server
docker-compose up

بمجرد تشغيل التطبيقات، قم بالوصول إلى صفحة الاختبار على:

  • http://localhost:8080/

قاعدة البيانات المحلية

يستخدم خادم FIDO2 H2 كقاعدة بيانات مضمنة في بيئة محلية، والتي يجب استبدالها بقاعدة بيانات مستقلة (مثل MySQL) للتشغيل المرحلي أو التجريبي أو بيئات الإنتاج. قم بالوصول إلى وحدة تحكم الويب H2 على:

  • http://localhost:8081/h2-console

مشاكل

  • إذا لم يعمل data.sql بشكل جيد في بيئة IntelliJ، فحاول التعليق على هذا الجزء في build.gradle. 
jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

أدلة واجهة برمجة التطبيقات

مستندات Spring REST

لعرض وثائق API، اتبع الخطوات التالية:

  1. قم بتنفيذ الأوامر التالية: 
     cd fido2-demo/demo
./gradlew makeRestDocs
./gradlew bootRun
  2. قم بالوصول إلى وثائق API على المسار التالي:
  • الخادم: http://localhost:8081/docs/api-guide.html

واجهة مستخدم التفاخر

بعد تشغيل التطبيقات، يمكنك عرض مستندات دليل API على الرابط أدناه.

  • خادم رب: http://localhost:8080/swagger-ui.html
  • الخادم: http://localhost:8081/swagger-ui.html

LINE WebAuthn Android وiOS

نحن نقدم أيضًا Client SDK لتطبيقات Android/iOS. يرجى الاطلاع أدناه.

  • تقديم Fido2 Client SDK مفتوح المصدر
  • LINE Webauthn Demo Kotlin
  • LINE Webauthn التجريبي سويفت

تحقق من تكوين الأصل

تتحقق طريقة checkOrigin من صحة أصل الطلبات الواردة من تطبيقات LINE على Android وiOS. فهو يضمن الأمان عن طريق التحقق من تطابق أصل الطلب مع قائمة الأصول المسموح بها التي تم تكوينها مسبقًا.

كيفية التكوين لاستخدام طريقة checkOrigin ، قم بإعداد الأصول المسموح بها في ملف application.yml . فيما يلي مثال للتكوين: 

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

ملاحظة: استبدل aaa-bbb بالقيم المناسبة لتطبيقك.

هام: هذا التكوين اختياري وضروري فقط عند التكامل مع LINE WebAuthn لتطبيقات Android وiOS.

مراجع

LY Engineering Blogs

  • FIDO في LINE: خطوة أولى نحو عالم بدون كلمات مرور
  • FIDO في LINE: خادم FIDO2 كمشروع مفتوح المصدر
  • تقديم Fido2 Client SDK مفتوح المصدر

LY Tech Videos

  • مساهمة مفتوحة المصدر تبدأ بخادم LINE FIDO2
  • مصادقة قوية للعملاء والقياسات الحيوية باستخدام FIDO
  • عبر منصة الأمن المحمول في LINE
  • تسجيل دخول آمن عبر LINE باستخدام مفتاح البيومترية الذي يحل محل كلمة المرور

Internal

  • مخطط التسلسل
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل