line fido2 server

Сервер FIDO2(WebAuthn) официально сертифицирован FIDO Alliance.

FIDO (Fast IDentity Online) — это открытый стандарт онлайн-аутентификации, целью которого является устранение уязвимостей паролей. FIDO использует криптографию с открытым ключом вместо симметричных учетных данных, таких как пароли или PIN-коды.

По сути, устройство пользователя генерирует пару ключей, надежно сохраняя закрытый ключ и передавая открытый ключ серверу. Во время регистрации и аутентификации сервер опрашивает устройство, и устройство отвечает цифровой подписью с использованием закрытого ключа. Затем сервер проверяет эту подпись с помощью сохраненного открытого ключа. Этот протокол запроса-ответа помогает предотвратить атаки повторного воспроизведения.

FIDO2 — это расширение стандарта FIDO для Интернета и других платформ, поддерживаемое основными веб-браузерами и операционными системами. Он включает в себя две основные операции: регистрацию и аутентификацию.

• Пользователь выбирает аутентификатор FIDO, соответствующий политике приема службы.
• Пользователь разблокирует аутентификатор с помощью отпечатка пальца, PIN-кода или другого метода.
• Генерируется пара открытого/закрытого ключей; открытый ключ отправляется в сервис и связывается с учетной записью пользователя, а закрытый ключ остается на устройстве.
• Служба опрашивает устройство, которое затем создает ответ с использованием закрытого ключа для завершения процесса регистрации.

• Сервис предлагает пользователю войти в систему с ранее зарегистрированного устройства.
• Пользователь разблокирует аутентификатор тем же способом, что и при регистрации.
• Устройство подписывает запрос службы и отправляет его обратно в службу.
• Служба проверяет подпись с помощью сохраненного открытого ключа и предоставляет доступ.

Процессы регистрации и аутентификации используют протокол запроса-ответа для предотвращения атак повторного воспроизведения. Во время регистрации с сервера на устройство отправляется запрос, и устройство отвечает, используя свой закрытый ключ. Аналогично, во время аутентификации отправляется еще один запрос для проверки личности пользователя. Это гарантирует, что каждая попытка уникальна и безопасна.

• rp-сервер :
  • Демо-версия RP-сервера
  • Зависит от общего
• общий :
  • Классы сообщений, на которые обычно ссылаются как сервер FIDO2, так и сервер RP.
• основной :
  • Содержит основную доменную логику FIDO.
  • Если внедряемый сервер FIDO2 не взаимодействует с RDB, следует использовать только этот модуль.
  • Зависит от общего
• база :
  • Содержит классы, зависящие от Spring JPA.
    • Классы реализации службы, интерфейсы репозитория, классы сущностей
  • Зависит от ядра
• демо :
  • Демонстрационное приложение сервера FIDO2
  • Зависит от базы

• Поддерживаемые типы аттестации:
  • Базовый
  • Себя
  • Центр сертификации (ЦС конфиденциальности)
  • Никто
  • Анонимизация СА
• Поддерживаемые форматы аттестации:
  • упакованный
  • ТРМ
  • Аттестация ключа Android
  • Сеть безопасности Android
  • ФИДО U2F
  • Apple Аноним
  • Никто
• Интеграция службы метаданных:
  • ФИДО МДСv3

Запустите RP-сервер и FIDO2-сервер:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Если у вас настроен Docker, вы можете использовать docker-compose.

 # Start both RP Server and FIDO2 Server
docker-compose up

После запуска приложений откройте тестовую страницу по адресу:

• http://локальный хост:8080/

Сервер FIDO2 использует H2 в качестве встроенной базы данных в локальной среде, которую следует заменить автономной базой данных (например, MySQL) для промежуточной, бета-версии или производственной среды. Получите доступ к веб-консоли H2 по адресу:

• http://localhost:8081/h2-консоль

• Если data.sql не работает должным образом в среде IntelliJ, попробуйте прокомментировать эту часть в build.gradle.

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

Чтобы просмотреть документацию API, выполните следующие действия:

1. Выполните следующие команды:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. Откройте документацию API по следующему пути:

• сервер: http://localhost:8081/docs/api-guide.html

После запуска приложений вы можете просмотреть руководства по API по ссылке ниже.

• rp-сервер: http://localhost:8080/swagger-ui.html
• сервер: http://localhost:8081/swagger-ui.html

Мы также предоставляем Client SDK для приложений Android/iOS. Пожалуйста, смотрите ниже.

• Представляем Fido2 Client SDK с открытым исходным кодом
• LINE Webauthn Демо Kotlin
• LINE Webauthn Демо Swift

Метод checkOrigin проверяет происхождение запросов от приложений LINE для Android и iOS. Он обеспечивает безопасность, проверяя, соответствует ли источник запроса предварительно настроенному списку разрешенных источников.

Как настроить Чтобы использовать метод checkOrigin , настройте разрешенные источники в файле application.yml . Вот пример конфигурации:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

Примечание. Замените aaa-bbb значениями, подходящими для вашего приложения.

Важно: эта конфигурация не является обязательной и необходима только при интеграции с LINE WebAuthn для приложений Android и iOS.

LY Engineering Blogs

• FIDO на LINE: первый шаг к миру без паролей
• FIDO в LINE: сервер FIDO2 как проект с открытым исходным кодом
• Представляем Fido2 Client SDK с открытым исходным кодом

LY Tech Videos

• Вклад открытого исходного кода Начиная с сервера LINE FIDO2
• Надежная аутентификация клиентов и биометрия с использованием FIDO
• Кроссплатформенная мобильная безопасность в LINE
• Безопасный вход в LINE с биометрическим ключом, заменяющим пароль

Internal

• Диаграмма последовательности