line fido2 server

FIDO2(WebAuthn)-Server, offiziell zertifiziert von der FIDO Alliance

FIDO (Fast IDentity Online) ist ein offener Standard für die Online-Authentifizierung mit dem Ziel, die Schwachstellen von Passwörtern zu beseitigen. FIDO verwendet Public-Key-Kryptografie anstelle symmetrischer Anmeldeinformationen wie Passwörter oder PINs.

Im Wesentlichen generiert das Gerät des Benutzers ein Schlüsselpaar, speichert den privaten Schlüssel sicher und teilt den öffentlichen Schlüssel mit dem Server. Sowohl bei der Registrierung als auch bei der Authentifizierung fordert der Server das Gerät heraus und das Gerät antwortet mit einer digitalen Signatur unter Verwendung des privaten Schlüssels. Anschließend verifiziert der Server diese Signatur mit dem hinterlegten öffentlichen Schlüssel. Dieses Challenge-Response-Protokoll trägt dazu bei, Replay-Angriffe zu verhindern.

FIDO2 ist eine Erweiterung des FIDO-Standards für Web- und andere Plattformen, die von den wichtigsten Webbrowsern und Betriebssystemen unterstützt wird. Es umfasst zwei Hauptvorgänge: Registrierung und Authentifizierung.

• Der Benutzer wählt einen FIDO-Authentifikator aus, der der Akzeptanzrichtlinie des Dienstes entspricht.
• Der Benutzer entsperrt den Authentifikator per Fingerabdruck, PIN oder einer anderen Methode.
• Es wird ein öffentliches/privates Schlüsselpaar generiert. Der öffentliche Schlüssel wird an den Dienst gesendet und mit dem Konto des Benutzers verknüpft, während der private Schlüssel auf dem Gerät verbleibt.
• Der Dienst fordert das Gerät heraus, das dann mithilfe des privaten Schlüssels eine Antwort erstellt, um den Registrierungsprozess abzuschließen.

• Der Dienst fordert den Benutzer auf, sich mit einem zuvor registrierten Gerät anzumelden.
• Der Benutzer entsperrt den Authentifikator mit der gleichen Methode wie bei der Registrierung.
• Das Gerät signiert die Anfrage des Dienstes und sendet sie an den Dienst zurück.
• Der Dienst verifiziert die Signatur mit dem hinterlegten öffentlichen Schlüssel und gewährt den Zugriff.

Sowohl der Registrierungs- als auch der Authentifizierungsprozess nutzen ein Challenge-Response-Protokoll, um Replay-Angriffe zu verhindern. Bei der Registrierung wird eine Challenge vom Server an das Gerät gesendet und das Gerät antwortet mit seinem privaten Schlüssel. Ebenso wird während der Authentifizierung eine weitere Aufforderung gesendet, um die Identität des Benutzers zu überprüfen. Dadurch wird sichergestellt, dass jeder Versuch einzigartig und sicher ist.

• RP-Server :
  • RP-Server-Demo
  • Hängt von der Gemeinsamkeit ab
• gemeinsam :
  • Nachrichtenklassen, auf die sowohl vom FIDO2-Server als auch vom RP-Server gemeinsam verwiesen wird
• Kern :
  • Enthält die Kerndomänenlogik von FIDO
  • Wenn der zu implementierende FIDO2-Server nicht mit einer RDB interagiert, sollte dieses Modul allein verwendet werden
  • Hängt von der Gemeinsamkeit ab
• Basis :
  • Enthält Klassen, die von Spring JPA abhängen
    • Serviceimplementierungsklassen, Repository-Schnittstellen, Entitätsklassen
  • Hängt vom Kern ab
• Demo :
  • FIDO2-Server-Demoanwendung
  • Hängt von der Basis ab

• Unterstützte Attestierungstypen:
  • Basic
  • Selbst
  • Bescheinigungs-CA (Datenschutz-CA)
  • Keiner
  • Anonymisierungs-CA
• Unterstützte Attestierungsformate:
  • Verpackt
  • TPM
  • Android-Schlüsselbescheinigung
  • Android SafetyNet
  • FIDO U2F
  • Apple Anonym
  • Keiner
• Integration von Metadatendiensten:
  • FIDO MDSv3

Starten Sie den RP-Server und den FIDO2-Server:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Wenn Sie Docker konfiguriert haben, können Sie docker-compose verwenden.

 # Start both RP Server and FIDO2 Server
docker-compose up

Sobald die Anwendungen ausgeführt werden, rufen Sie die Testseite auf:

• http://localhost:8080/

Der FIDO2-Server verwendet H2 als eingebettete Datenbank in einer lokalen Umgebung, die für Staging-, Beta- oder Produktionsumgebungen durch eine eigenständige Datenbank (wie MySQL) ersetzt werden sollte. Greifen Sie auf die H2-Webkonsole zu unter:

• http://localhost:8081/h2-console

• Wenn data.sql in einer IntelliJ-Umgebung nicht gut funktioniert, versuchen Sie, diesen Teil in build.gradle zu kommentieren.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Um die API-Dokumentation anzuzeigen, führen Sie die folgenden Schritte aus:

1. Führen Sie die folgenden Befehle aus:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Greifen Sie über den folgenden Pfad auf die API-Dokumentation zu:

• Server: http://localhost:8081/docs/api-guide.html

Nachdem Sie die Anwendungen ausgeführt haben, können Sie API-Leitfadendokumente unter dem folgenden Link anzeigen.

• rpserver: http://localhost:8080/swagger-ui.html
• Server: http://localhost:8081/swagger-ui.html

Wir stellen auch Client SDK für Android/iOS-Anwendungen bereit. Bitte sehen Sie unten.

• Einführung des Fido2 Client SDK Open Source
• LINE Webauthn Demo Kotlin
• LINE Webauthn Demo Swift

Die checkOrigin -Methode validiert die Herkunft von Anfragen von LINEs Android- und iOS-Anwendungen. Es sorgt für Sicherheit, indem es überprüft, ob der Ursprung der Anfrage mit einer vorkonfigurierten Liste zulässiger Ursprünge übereinstimmt.

So konfigurieren Sie: Um die checkOrigin -Methode zu verwenden, richten Sie die zulässigen Ursprünge in der Datei application.yml ein. Hier ist eine Beispielkonfiguration:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Hinweis: Ersetzen Sie aaa-bbb durch die entsprechenden Werte für Ihre Anwendung.

Wichtig: Diese Konfiguration ist optional und nur bei der Integration mit LINE WebAuthn für Android- und iOS-Anwendungen erforderlich.

LY Engineering Blogs

• FIDO bei LINE: Ein erster Schritt in eine Welt ohne Passwörter
• FIDO bei LINE: FIDO2-Server als Open-Source-Projekt
• Einführung des Fido2 Client SDK Open Source

LY Tech Videos

• Open-Source-Beitrag Beginnend mit LINE FIDO2 Server
• Starke Kundenauthentifizierung und Biometrie mit FIDO
• Plattformübergreifende mobile Sicherheit bei LINE
• Sicheres LINE-Login mit biometrischem Schlüssel, der das Passwort ersetzt

Internal

• Sequenzdiagramm