line fido2 server

Servidor FIDO2(WebAuthn) oficialmente certificado pela FIDO Alliance

FIDO (Fast IDentity Online) é um padrão aberto para autenticação online, visando eliminar vulnerabilidades de senhas. FIDO usa criptografia de chave pública em vez de credenciais simétricas como senhas ou PINs.

Em essência, o dispositivo do usuário gera um par de chaves, armazenando a chave privada de forma segura e compartilhando a chave pública com o servidor. Durante o registro e a autenticação, o servidor desafia o dispositivo e o dispositivo responde com uma assinatura digital utilizando a chave privada. O servidor então verifica esta assinatura com a chave pública armazenada. Este protocolo de resposta a desafios ajuda a prevenir ataques de repetição.

FIDO2 é um aprimoramento do padrão FIDO para web e outras plataformas, suportado pelos principais navegadores e sistemas operacionais. Abrange duas operações principais: Registro e Autenticação.

• O usuário seleciona um autenticador FIDO que atenda à política de aceitação do serviço.
• O usuário desbloqueia o autenticador por impressão digital, PIN ou outro método.
• Um par de chaves pública/privada é gerado; a chave pública é enviada ao serviço e associada à conta do usuário, enquanto a chave privada permanece no dispositivo.
• O serviço desafia o dispositivo, que então cria uma resposta usando a chave privada para finalizar o processo de registro.

• O serviço desafia o usuário a fazer login com um dispositivo previamente cadastrado.
• O usuário desbloqueia o autenticador usando o mesmo método usado durante o registro.
• O dispositivo assina o desafio do serviço e o envia de volta ao serviço.
• O serviço verifica a assinatura com a chave pública armazenada e concede acesso.

Tanto o processo de registro quanto o de autenticação utilizam um protocolo de resposta a desafios para evitar ataques de repetição. Durante o registro, um desafio é enviado do servidor para o dispositivo e o dispositivo responde usando sua chave privada. Da mesma forma, durante a autenticação, outro desafio é enviado para verificar a identidade do usuário. Isso garante que cada tentativa seja única e segura.

• servidor rp :
  • Demonstração do servidor RP
  • Depende do comum
• comum :
  • Classes de mensagens que são comumente referenciadas pelo servidor FIDO2 e pelo servidor RP
• essencial :
  • Contém a lógica de domínio central do FIDO
  • Se o servidor FIDO2 que está sendo implementado não interagir com um RDB, este módulo sozinho deverá ser usado
  • Depende do comum
• básico :
  • Contém classes que dependem do Spring JPA
    • Classes de Implemento de Serviço, Interfaces de Repositório, Classes de Entidade
  • Depende do núcleo
• demonstração :
  • Aplicativo de demonstração do servidor FIDO2
  • Depende da base

• Tipos de atestado suportados:
  • Básico
  • Auto
  • CA de atestado (CA de privacidade)
  • Nenhum
  • CA de anonimato
• Formatos de atestado suportados:
  • Embalado
  • TPM
  • Atestado de chave Android
  • Rede de Segurança Android
  • FIDO U2F
  • Apple Anônimo
  • Nenhum
• Integração de serviços de metadados:
  • FIDO MDSv3

Inicie o servidor RP e o servidor FIDO2:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Se você tiver o Docker configurado, poderá usar docker-compose.

 # Start both RP Server and FIDO2 Server
docker-compose up

Assim que os aplicativos estiverem em execução, acesse a página de teste em:

• http://localhost:8080/

O servidor FIDO2 usa H2 como um banco de dados incorporado em um ambiente local, que deve ser substituído por um banco de dados independente (como MySQL) para ambientes de teste, beta ou produção. Acesse o console web H2 em:

• http://localhost:8081/h2-console

• Se data.sql não funcionar bem em um ambiente IntelliJ, tente comentar esta parte em build.gradle.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Para visualizar a documentação da API, siga estas etapas:

1. Execute os seguintes comandos:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Acesse a documentação da API no seguinte caminho:

• servidor: http://localhost:8081/docs/api-guide.html

Depois de executar os aplicativos, você pode visualizar os documentos do guia da API no link abaixo.

• rpserver: http://localhost:8080/swagger-ui.html
• servidor: http://localhost:8081/swagger-ui.html

Também fornecemos Client SDK para aplicativos Android/iOS. Por favor, veja abaixo.

• Apresentando o código aberto do Fido2 Client SDK
• Demonstração do LINE Webauthn em Kotlin
• Demonstração do LINE Webauthn Swift

O método checkOrigin valida a origem das solicitações dos aplicativos Android e iOS do LINE. Garante a segurança verificando se a origem da solicitação corresponde a uma lista pré-configurada de origens permitidas.

Como configurar Para usar o método checkOrigin , configure as origens permitidas no arquivo application.yml . Aqui está um exemplo de configuração:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Nota: Substitua aaa-bbb pelos valores apropriados para seu aplicativo.

Importante: Esta configuração é opcional e necessária apenas na integração com LINE WebAuthn para aplicações Android e iOS.

LY Engineering Blogs

• FIDO at LINE: Um primeiro passo para um mundo sem senhas
• FIDO at LINE: servidor FIDO2 como um projeto de código aberto
• Apresentando o código aberto do Fido2 Client SDK

LY Tech Videos

• Contribuição de código aberto começando com o servidor LINE FIDO2
• Autenticação forte do cliente e biometria usando FIDO
• Segurança móvel multiplataforma no LINE
• Login seguro do LINE com chave biométrica substituindo senha

Internal

• Diagrama de Sequência