line fido2 server

FIDO Alliance에서 공식 인증한 FIDO2(WebAuthn) 서버

FIDO(Fast IDentity Online)는 비밀번호의 취약점을 제거하는 것을 목표로 하는 온라인 인증을 위한 개방형 표준입니다. FIDO는 비밀번호나 PIN과 같은 대칭 자격 증명 대신 공개 키 암호화를 사용합니다.

본질적으로 사용자의 장치는 키 쌍을 생성하여 개인 키를 안전하게 저장하고 공개 키를 서버와 공유합니다. 등록 및 인증 중에 서버는 장치에 요청하고 장치는 개인 키를 사용하여 디지털 서명으로 응답합니다. 그런 다음 서버는 저장된 공개 키를 사용하여 이 서명을 확인합니다. 이 시도-응답 프로토콜은 재생 공격을 방지하는 데 도움이 됩니다.

FIDO2는 주요 웹 브라우저 및 운영 체제에서 지원되는 웹 및 기타 플랫폼에 대한 FIDO 표준의 향상된 버전입니다. 여기에는 등록과 인증이라는 두 가지 기본 작업이 포함됩니다.

• 사용자는 서비스의 승인 정책을 충족하는 FIDO 인증자를 선택합니다.
• 사용자는 지문, PIN 또는 기타 방법을 통해 인증 장치의 잠금을 해제합니다.
• 공개/개인 키 쌍이 생성됩니다. 공개 키는 서비스로 전송되어 사용자 계정과 연결되지만 개인 키는 기기에 남아 있습니다.
• 서비스는 장치에 요청한 다음 개인 키를 사용하여 응답을 생성하여 등록 프로세스를 완료합니다.

• 이 서비스는 사용자에게 이전에 등록된 장치로 로그인하도록 요청합니다.
• 사용자는 등록 시와 동일한 방법을 사용하여 인증자의 잠금을 해제합니다.
• 장치는 서비스의 챌린지에 서명하고 이를 서비스로 다시 보냅니다.
• 서비스는 저장된 공개 키로 서명을 확인하고 액세스 권한을 부여합니다.

등록 및 인증 프로세스 모두 재생 공격을 방지하기 위해 시도-응답 프로토콜을 사용합니다. 등록 중에 서버에서 장치로 챌린지가 전송되고 장치는 개인 키를 사용하여 응답합니다. 마찬가지로 인증 중에 사용자의 신원을 확인하기 위해 또 다른 질문이 전송됩니다. 이를 통해 각 시도는 고유하고 안전합니다.

• rp-서버 :
  • RP 서버 데모
  • 공통사항 에 따라 다름
• 흔한 :
  • FIDO2 서버와 RP 서버 모두에서 공통적으로 참조되는 메시지 클래스
• 핵심 :
  • FIDO의 핵심 도메인 로직을 포함합니다.
  • 구현 중인 FIDO2 서버가 RDB와 상호 작용하지 않는 경우 이 모듈만 사용해야 합니다.
  • 공통사항 에 따라 다름
• 베이스 :
  • Spring JPA에 의존하는 클래스를 포함합니다.
    • 서비스 구현 클래스, 저장소 인터페이스, 엔터티 클래스
  • 코어 에 따라 다름
• 데모 :
  • FIDO2 서버 데모 애플리케이션
  • 베이스 에 따라 다름

• 지원되는 증명 유형:
  • 기초적인
  • 본인
  • 증명 CA(개인정보 보호 CA)
  • 없음
  • 익명화 CA
• 지원되는 증명 형식:
  • 포장됨
  • TPM
  • Android 키 증명
  • 안드로이드 SafetyNet
  • FIDO U2F
  • 애플 어나니머스
  • 없음
• 메타데이터 서비스 통합:
  • FIDO MDSv3

RP 서버 및 FIDO2 서버를 시작합니다.

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Docker가 구성되어 있으면 docker-compose를 사용할 수 있습니다.

 # Start both RP Server and FIDO2 Server
docker-compose up

애플리케이션이 실행되면 다음 위치에서 테스트 페이지에 액세스합니다.

• http://localhost:8080/

FIDO2 서버는 로컬 환경에서 H2를 임베디드 DB로 사용하는데, 스테이징, 베타, 프로덕션 환경에서는 독립형 DB(예: MySQL)로 대체해야 합니다. 다음 위치에서 H2 웹 콘솔에 액세스하세요.

• http://localhost:8081/h2-콘솔

• IntelliJ 환경에서 data.sql이 잘 동작하지 않는다면 build.gradle에서 이 부분에 대해 코멘트를 달아보세요.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

API 문서를 보려면 다음 단계를 따르세요.

1. 다음 명령을 실행합니다.

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. 다음 경로에서 API 문서에 액세스하십시오.

• 서버: http://localhost:8081/docs/api-guide.html

애플리케이션 실행 후, 아래 링크에서 API 가이드 문서를 보실 수 있습니다.

• rpserver: http://localhost:8080/swagger-ui.html
• 서버: http://localhost:8081/swagger-ui.html

또한 Android/iOS 애플리케이션용 클라이언트 SDK도 제공하고 있습니다. 아래를 참조하십시오.

• Fido2 클라이언트 SDK 오픈소스 소개
• LINE Webauthn 데모 Kotlin
• LINE Webauthn 데모 스위프트

checkOrigin 메소드는 LINE Android 및 iOS 애플리케이션의 요청 출처를 검증합니다. 요청의 원본이 사전 구성된 허용 원본 목록과 일치하는지 확인하여 보안을 보장합니다.

구성 방법 checkOrigin 메서드를 사용하려면 application.yml 파일에서 허용되는 원본을 설정합니다. 다음은 구성 예입니다.

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

참고: aaa-bbb 애플리케이션에 적합한 값으로 바꾸십시오.

중요: 이 구성은 선택 사항이며 Android 및 iOS 애플리케이션용 LINE WebAuthn과 통합할 때만 필요합니다.

LY Engineering Blogs

• FIDO at LINE: 비밀번호 없는 세상을 향한 첫 걸음
• FIDO at LINE: 오픈소스 프로젝트인 FIDO2 서버
• Fido2 클라이언트 SDK 오픈소스 소개

LY Tech Videos

• 오픈소스 기여 LINE FIDO2 Server를 시작으로
• FIDO를 이용한 강력한 고객 인증 및 생체인식
• LINE의 크로스 플랫폼 모바일 보안
• 비밀번호를 대체하는 생체 인식 키로 안전한 LINE 로그인

Internal

• 시퀀스 다이어그램