line fido2 server

Servidor FIDO2 (WebAuthn) certificado oficialmente por FIDO Alliance

FIDO (Fast IDentity Online) es un estándar abierto para la autenticación en línea, cuyo objetivo es eliminar las vulnerabilidades de las contraseñas. FIDO utiliza criptografía de clave pública en lugar de credenciales simétricas como contraseñas o PIN.

En esencia, el dispositivo del usuario genera un par de claves, almacena la clave privada de forma segura y comparte la clave pública con el servidor. Durante el registro y la autenticación, el servidor desafía al dispositivo y el dispositivo responde con una firma digital utilizando la clave privada. Luego, el servidor verifica esta firma con la clave pública almacenada. Este protocolo de desafío-respuesta ayuda a prevenir ataques de repetición.

FIDO2 es una mejora del estándar FIDO para web y otras plataformas, compatible con los principales navegadores web y sistemas operativos. Abarca dos operaciones principales: registro y autenticación.

• El usuario selecciona un autenticador FIDO que cumpla con la política de aceptación del servicio.
• El usuario desbloquea el autenticador mediante huella digital, PIN u otro método.
• Se genera un par de claves pública/privada; la clave pública se envía al servicio y se asocia con la cuenta del usuario, mientras que la clave privada permanece en el dispositivo.
• El servicio desafía al dispositivo, que luego crea una respuesta utilizando la clave privada para finalizar el proceso de registro.

• El servicio desafía al usuario a iniciar sesión con un dispositivo previamente registrado.
• El usuario desbloquea el autenticador utilizando el mismo método que durante el registro.
• El dispositivo firma el desafío del servicio y lo envía de vuelta al servicio.
• El servicio verifica la firma con la clave pública almacenada y otorga acceso.

Tanto el proceso de registro como el de autenticación utilizan un protocolo de desafío-respuesta para evitar ataques de repetición. Durante el registro, se envía un desafío desde el servidor al dispositivo y el dispositivo responde utilizando su clave privada. De manera similar, durante la autenticación, se envía otro desafío para verificar la identidad del usuario. Esto garantiza que cada intento sea único y seguro.

• servidor rp :
  • Demostración del servidor RP
  • Depende de lo común
• común :
  • Clases de mensajes a las que comúnmente hace referencia tanto el servidor FIDO2 como el servidor RP
• centro :
  • Contiene la lógica de dominio central de FIDO.
  • Si el servidor FIDO2 que se está implementando no interactúa con un RDB, se debe usar este módulo solo
  • Depende de lo común
• base :
  • Contiene clases que dependen de Spring JPA.
    • Clases de implementación de servicio, interfaces de repositorio, clases de entidad
  • Depende del núcleo
• demostración :
  • Aplicación de demostración del servidor FIDO2
  • depende de la base

• Tipos de atestación admitidos:
  • Básico
  • Ser
  • Atestación CA (CA de privacidad)
  • Ninguno
  • CA de anonimización
• Formatos de certificación admitidos:
  • Lleno
  • TPM
  • Certificación de clave de Android
  • Red de seguridad de Android
  • FIDO U2F
  • manzana anónimo
  • Ninguno
• Integración de servicios de metadatos:
  • FIDO MDSv3

Inicie el servidor RP y el servidor FIDO2:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Si tiene Docker configurado, puede usar docker-compose.

 # Start both RP Server and FIDO2 Server
docker-compose up

Una vez que las aplicaciones se estén ejecutando, acceda a la página de prueba en:

• http://localhost:8080/

El servidor FIDO2 utiliza H2 como una base de datos integrada en un entorno local, que debe reemplazarse con una base de datos independiente (como MySQL) para entornos de prueba, beta o producción. Acceda a la consola web de H2 en:

• http://localhost:8081/h2-consola

• Si data.sql no funciona bien en un entorno IntelliJ, intente comentar esta parte en build.gradle.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Para ver la documentación de la API, siga estos pasos:

1. Ejecute los siguientes comandos:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Acceda a la documentación de la API en la siguiente ruta:

• servidor: http://localhost:8081/docs/api-guide.html

Después de ejecutar las aplicaciones, puede ver los documentos de la guía API en el siguiente enlace.

• servidor rp: http://localhost:8080/swagger-ui.html
• servidor: http://localhost:8081/swagger-ui.html

También proporcionamos Client SDK para aplicaciones de Android/iOS. Por favor vea a continuación.

• Presentamos el código abierto del SDK del cliente Fido2
• LINE Webauthn Demostración de Kotlin
• Demostración rápida de LINE Webauthn

El método checkOrigin valida el origen de las solicitudes de las aplicaciones de Android e iOS de LINE. Garantiza la seguridad al verificar que el origen de la solicitud coincida con una lista preconfigurada de orígenes permitidos.

Cómo configurar Para utilizar el método checkOrigin , configure los orígenes permitidos en el archivo application.yml . Aquí hay una configuración de ejemplo:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Nota: Reemplace aaa-bbb con los valores apropiados para su aplicación.

Importante: Esta configuración es opcional y solo necesaria cuando se integra con LINE WebAuthn para aplicaciones de Android e iOS.

LY Engineering Blogs

• FIDO en LINE: un primer paso hacia un mundo sin contraseñas
• FIDO en LINE: servidor FIDO2 como proyecto de código abierto
• Presentamos el código abierto del SDK del cliente Fido2

LY Tech Videos

• Contribución de código abierto A partir del servidor LINE FIDO2
• Autenticación sólida de clientes y biometría utilizando FIDO
• Seguridad móvil multiplataforma en LINE
• Inicio de sesión seguro en LINE con clave biométrica que reemplaza la contraseña

Internal

• Diagrama de secuencia