line fido2 server

Serveur FIDO2(WebAuthn) officiellement certifié par FIDO Alliance

FIDO (Fast IDentity Online) est un standard ouvert d'authentification en ligne, visant à éliminer les vulnérabilités des mots de passe. FIDO utilise la cryptographie à clé publique au lieu d'informations d'identification symétriques telles que des mots de passe ou des codes PIN.

Essentiellement, l'appareil de l'utilisateur génère une paire de clés, stockant la clé privée en toute sécurité et partageant la clé publique avec le serveur. Lors de l'enregistrement et de l'authentification, le serveur défie l'appareil et celui-ci répond avec une signature numérique à l'aide de la clé privée. Le serveur vérifie ensuite cette signature avec la clé publique stockée. Ce protocole défi-réponse permet d’empêcher les attaques par relecture.

FIDO2 est une amélioration de la norme FIDO pour le Web et d'autres plates-formes, prise en charge par les principaux navigateurs Web et systèmes d'exploitation. Il comprend deux opérations principales : l'enregistrement et l'authentification.

• L'utilisateur sélectionne un authentificateur FIDO qui répond à la politique d'acceptation du service.
• L'utilisateur déverrouille l'authentificateur via son empreinte digitale, son code PIN ou une autre méthode.
• Une paire de clés publique/privée est générée ; la clé publique est envoyée au service et associée au compte de l'utilisateur, tandis que la clé privée reste sur l'appareil.
• Le service défie l'appareil, qui crée ensuite une réponse en utilisant la clé privée pour terminer le processus d'enregistrement.

• Le service met l'utilisateur au défi de se connecter avec un appareil précédemment enregistré.
• L'utilisateur déverrouille l'authentificateur en utilisant la même méthode que lors de l'inscription.
• L'appareil signe le défi du service et le renvoie au service.
• Le service vérifie la signature avec la clé publique stockée et accorde l'accès.

Les processus d’enregistrement et d’authentification utilisent un protocole défi-réponse pour empêcher les attaques par réexécution. Lors de l'enregistrement, un défi est envoyé du serveur à l'appareil et l'appareil répond en utilisant sa clé privée. De même, lors de l'authentification, un autre challenge est envoyé pour vérifier l'identité de l'utilisateur. Cela garantit que chaque tentative est unique et sécurisée.

• serveur-rp :
  • Démo du serveur RP
  • Cela dépend du commun
• commun :
  • Classes de messages communément référencées par le serveur FIDO2 et le serveur RP
• cœur :
  • Contient la logique de domaine de base de FIDO
  • Si le serveur FIDO2 en cours d'implémentation n'interagit pas avec un RDB, ce module seul doit être utilisé
  • Cela dépend du commun
• base :
  • Contient des classes qui dépendent de Spring JPA
    • Classes d'implémentation de service, interfaces de référentiel, classes d'entité
  • Cela dépend du noyau
• démo :
  • Application de démonstration du serveur FIDO2
  • Cela dépend du socle

• Types d'attestations pris en charge :
  • Basique
  • Soi
  • Attestation CA (Confidentialité CA)
  • Aucun
  • Autorité de certification d'anonymisation
• Formats d'attestation pris en charge :
  • Emballé
  • TPM
  • Attestation de clé Android
  • Réseau de sécurité Android
  • FIDO U2F
  • Pomme Anonyme
  • Aucun
• Intégration du service de métadonnées :
  • FIDO MDSv3

Démarrez le serveur RP et le serveur FIDO2 :

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Si Docker est configuré, vous pouvez utiliser docker-compose.

 # Start both RP Server and FIDO2 Server
docker-compose up

Une fois les applications lancées, accédez à la page de test à l'adresse :

• http://localhost:8080/

Le serveur FIDO2 utilise H2 comme base de données intégrée dans un environnement local, qui doit être remplacée par une base de données autonome (comme MySQL) pour les environnements de test, bêta ou de production. Accédez à la console Web H2 à l'adresse :

• http://localhost:8081/h2-console

• Si data.sql ne fonctionne pas bien dans un environnement IntelliJ, essayez de commenter cette partie dans build.gradle.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Pour afficher la documentation de l'API, procédez comme suit :

1. Exécutez les commandes suivantes :

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Accédez à la documentation de l'API via le chemin suivant :

• serveur : http://localhost:8081/docs/api-guide.html

Après avoir exécuté les applications, vous pouvez consulter les documents du guide API sur le lien ci-dessous.

• serveur rp : http://localhost:8080/swagger-ui.html
• serveur : http://localhost:8081/swagger-ui.html

Nous fournissons également un SDK client pour les applications Android/iOS. Veuillez voir ci-dessous.

• Présentation du SDK client Fido2 open source
• Démo LINE Webauthn Kotlin
• LINE Webauthn Démo Swift

La méthode checkOrigin valide l'origine des requêtes des applications Android et iOS de LINE. Il assure la sécurité en vérifiant que l'origine de la requête correspond à une liste préconfigurée d'origines autorisées.

Comment configurer Pour utiliser la méthode checkOrigin , configurez les origines autorisées dans le fichier application.yml . Voici un exemple de configuration :

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Remarque : Remplacez aaa-bbb par les valeurs appropriées pour votre application.

Important : Cette configuration est facultative et nécessaire uniquement lors de l'intégration avec LINE WebAuthn pour les applications Android et iOS.

LY Engineering Blogs

• FIDO chez LINE : un premier pas vers un monde sans mots de passe
• FIDO chez LINE : serveur FIDO2 en tant que projet open source
• Présentation du SDK client Fido2 open source

LY Tech Videos

• Contribution open source À partir du serveur LINE FIDO2
• Authentification client et biométrie fortes à l'aide de FIDO
• Sécurité mobile multiplateforme chez LINE
• Connexion sécurisée LINE avec clé biométrique remplaçant le mot de passe

Internal

• Diagramme de séquence