line fido2 server

Server FIDO2 (WebAuthn) disertifikasi secara resmi oleh FIDO Alliance

FIDO (Fast IDentity Online) adalah standar terbuka untuk otentikasi online, yang bertujuan untuk menghilangkan kerentanan kata sandi. FIDO menggunakan kriptografi kunci publik, bukan kredensial simetris seperti kata sandi atau PIN.

Intinya, perangkat pengguna menghasilkan pasangan kunci, menyimpan kunci pribadi dengan aman dan membagikan kunci publik dengan server. Selama registrasi dan autentikasi, server menantang perangkat, dan perangkat merespons dengan tanda tangan digital menggunakan kunci pribadi. Server kemudian memverifikasi tanda tangan ini dengan kunci publik yang disimpan. Protokol respons tantangan ini membantu mencegah serangan replay.

FIDO2 merupakan penyempurnaan standar FIDO untuk web dan platform lainnya, yang didukung oleh browser web dan sistem operasi utama. Ini mencakup dua operasi utama: Registrasi dan Otentikasi.

• Pengguna memilih pengautentikasi FIDO yang memenuhi kebijakan penerimaan layanan.
• Pengguna membuka kunci pengautentikasi melalui sidik jari, PIN, atau metode lain.
• Pasangan kunci publik/pribadi dihasilkan; kunci publik dikirim ke layanan dan dikaitkan dengan akun pengguna, sedangkan kunci pribadi tetap ada di perangkat.
• Layanan ini menantang perangkat, yang kemudian menciptakan respons menggunakan kunci pribadi untuk menyelesaikan proses pendaftaran.

• Layanan ini menantang pengguna untuk masuk dengan perangkat yang telah terdaftar sebelumnya.
• Pengguna membuka kunci pengautentikasi menggunakan metode yang sama seperti saat pendaftaran.
• Perangkat menandatangani tantangan layanan dan mengirimkannya kembali ke layanan.
• Layanan memverifikasi tanda tangan dengan kunci publik yang disimpan dan memberikan akses.

Baik proses registrasi maupun autentikasi menggunakan protokol tantangan-respons untuk mencegah serangan replay. Selama pendaftaran, tantangan dikirim dari server ke perangkat dan perangkat merespons menggunakan kunci pribadinya. Demikian pula, selama otentikasi, tantangan lain dikirimkan untuk memverifikasi identitas pengguna. Hal ini memastikan bahwa setiap upaya bersifat unik dan aman.

• rp-server :
  • Demo Server RP
  • Tergantung pada umum
• umum :
  • Kelas pesan yang umumnya direferensikan oleh Server FIDO2 dan Server RP
• inti :
  • Berisi logika domain inti FIDO
  • Jika server FIDO2 yang diimplementasikan tidak berinteraksi dengan RDB, modul ini saja yang harus digunakan
  • Tergantung pada umum
• basis :
  • Berisi kelas yang bergantung pada Spring JPA
    • Kelas Implementasi Layanan, antarmuka Repositori, kelas Entitas
  • Tergantung pada inti
• demo :
  • Aplikasi demo server FIDO2
  • Tergantung pada pangkalan

• Jenis pengesahan yang didukung:
  • Dasar
  • Diri sendiri
  • CA Pengesahan (CA Privasi)
  • Tidak ada
  • Anonimisasi CA
• Format pengesahan yang didukung:
  • Penuh sesak
  • TPM
  • Pengesahan Kunci Android
  • Jaringan Keamanan Android
  • FIDO U2F
  • Apple Anonim
  • Tidak ada
• Integrasi layanan metadata:
  • FIDO MDSv3

Mulai Server RP dan Server FIDO2:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Jika Anda telah mengkonfigurasi Docker, Anda dapat menggunakan docker-compose.

 # Start both RP Server and FIDO2 Server
docker-compose up

Setelah aplikasi berjalan, akses halaman pengujian di:

• http://localhost:8080/

Server FIDO2 menggunakan H2 sebagai DB tertanam di lingkungan lokal, yang harus diganti dengan DB mandiri (seperti MySQL) untuk lingkungan staging, beta, atau produksi. Akses konsol web H2 di:

• http://localhost:8081/h2-console

• Jika data.sql tidak berfungsi dengan baik di lingkungan IntelliJ, coba beri komentar pada bagian ini di build.gradle.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Untuk melihat dokumentasi API, ikuti langkah-langkah berikut:

1. Jalankan perintah berikut:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Akses dokumentasi API di jalur berikut:

• server: http://localhost:8081/docs/api-guide.html

Setelah menjalankan aplikasi, Anda dapat melihat dokumen panduan API pada tautan di bawah.

• rpserver: http://localhost:8080/swagger-ui.html
• server: http://localhost:8081/swagger-ui.html

Kami juga menyediakan SDK Klien untuk aplikasi Android/iOS. Silakan lihat di bawah.

• Memperkenalkan sumber terbuka SDK Klien Fido2
• Demo Kotlin LINE Webauthn
• Demo LINE Webauthn Cepat

Metode checkOrigin memvalidasi asal usul permintaan dari aplikasi LINE Android dan iOS. Ini memastikan keamanan dengan memeriksa apakah asal permintaan cocok dengan daftar asal yang diizinkan yang telah dikonfigurasi sebelumnya.

Cara Mengonfigurasi Untuk menggunakan metode checkOrigin , atur asal yang diizinkan di file application.yml . Berikut ini contoh konfigurasinya:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Catatan: Ganti aaa-bbb dengan nilai yang sesuai untuk aplikasi Anda.

Penting: Konfigurasi ini bersifat opsional dan hanya diperlukan saat berintegrasi dengan LINE WebAuthn untuk aplikasi Android dan iOS.

LY Engineering Blogs

• FIDO di LINE: Langkah Pertama Menuju Dunia Tanpa Kata Sandi
• FIDO di LINE: Server FIDO2 sebagai proyek sumber terbuka
• Memperkenalkan sumber terbuka SDK Klien Fido2

LY Tech Videos

• Kontribusi sumber terbuka Dimulai dengan LINE FIDO2 Server
• Otentikasi & biometrik pelanggan yang kuat menggunakan FIDO
• Keamanan Seluler Lintas Platform Di LINE
• Amankan login LINE dengan kunci biometrik yang menggantikan kata sandi

Internal

• Diagram Urutan