line fido2 server

เซิร์ฟเวอร์ FIDO2(WebAuthn) ได้รับการรับรองอย่างเป็นทางการจาก FIDO Alliance

FIDO (Fast IDentity Online) เป็นมาตรฐานแบบเปิดสำหรับการตรวจสอบสิทธิ์ออนไลน์ โดยมีเป้าหมายเพื่อขจัดช่องโหว่ของรหัสผ่าน FIDO ใช้การเข้ารหัสคีย์สาธารณะแทนข้อมูลรับรองแบบสมมาตร เช่น รหัสผ่านหรือ PIN

โดยพื้นฐานแล้ว อุปกรณ์ของผู้ใช้จะสร้างคู่คีย์ โดยจัดเก็บคีย์ส่วนตัวอย่างปลอดภัย และแบ่งปันคีย์สาธารณะกับเซิร์ฟเวอร์ ในระหว่างการลงทะเบียนและการรับรองความถูกต้อง เซิร์ฟเวอร์จะท้าทายอุปกรณ์ และอุปกรณ์จะตอบสนองด้วยลายเซ็นดิจิทัลโดยใช้รหัสส่วนตัว เซิร์ฟเวอร์จะตรวจสอบลายเซ็นนี้ด้วยคีย์สาธารณะที่เก็บไว้ โปรโตคอลตอบสนองต่อความท้าทายนี้ช่วยป้องกันการโจมตีซ้ำ

FIDO2 เป็นการเพิ่มประสิทธิภาพมาตรฐาน FIDO สำหรับเว็บและแพลตฟอร์มอื่นๆ ที่ได้รับการสนับสนุนจากเว็บเบราว์เซอร์และระบบปฏิบัติการหลักๆ ประกอบด้วยการดำเนินการหลักสองประการ: การลงทะเบียนและการรับรองความถูกต้อง

• ผู้ใช้เลือกตัวตรวจสอบสิทธิ์ FIDO ที่ตรงตามนโยบายการยอมรับของบริการ
• ผู้ใช้ปลดล็อคเครื่องยืนยันตัวตนผ่านลายนิ้วมือ PIN หรือวิธีอื่น
• คู่คีย์สาธารณะ/ส่วนตัวถูกสร้างขึ้น รหัสสาธารณะจะถูกส่งไปยังบริการและเชื่อมโยงกับบัญชีผู้ใช้ ในขณะที่รหัสส่วนตัวจะยังคงอยู่ในอุปกรณ์
• บริการนี้จะท้าทายอุปกรณ์ ซึ่งจะสร้างการตอบสนองโดยใช้คีย์ส่วนตัวเพื่อเสร็จสิ้นขั้นตอนการลงทะเบียน

• บริการนี้ท้าทายให้ผู้ใช้เข้าสู่ระบบด้วยอุปกรณ์ที่ลงทะเบียนไว้ก่อนหน้านี้
• ผู้ใช้ปลดล็อคตัวตรวจสอบความถูกต้องโดยใช้วิธีเดียวกับในระหว่างการลงทะเบียน
• อุปกรณ์จะลงนามในคำท้าทายของบริการและส่งกลับไปยังบริการ
• บริการตรวจสอบลายเซ็นด้วยรหัสสาธารณะที่เก็บไว้และให้สิทธิ์การเข้าถึง

ทั้งกระบวนการลงทะเบียนและการรับรองความถูกต้องใช้โปรโตคอลตอบสนองต่อความท้าทายเพื่อป้องกันการโจมตีซ้ำ ในระหว่างการลงทะเบียน ความท้าทายจะถูกส่งจากเซิร์ฟเวอร์ไปยังอุปกรณ์ และอุปกรณ์ตอบสนองโดยใช้รหัสส่วนตัว ในทำนองเดียวกัน ในระหว่างการตรวจสอบสิทธิ์ ระบบจะส่งคำท้าทายอื่นเพื่อตรวจสอบตัวตนของผู้ใช้ เพื่อให้แน่ใจว่าความพยายามแต่ละครั้งจะไม่ซ้ำกันและปลอดภัย

• rp-เซิร์ฟเวอร์ :
  • การสาธิตเซิร์ฟเวอร์ RP
  • ขึ้นอยู่กับ ส่วนรวม
• ทั่วไป :
  • คลาสข้อความที่โดยทั่วไปอ้างอิงโดยทั้งเซิร์ฟเวอร์ FIDO2 และเซิร์ฟเวอร์ RP
• แกนหลัก :
  • ประกอบด้วยตรรกะโดเมนหลักของ FIDO
  • หากเซิร์ฟเวอร์ FIDO2 ที่กำลังใช้งานไม่โต้ตอบกับ RDB ควรใช้โมดูลนี้เพียงอย่างเดียว
  • ขึ้นอยู่กับ ส่วนรวม
• ฐาน :
  • มีคลาสที่ขึ้นอยู่กับ Spring JPA
    • คลาสการใช้งานบริการ, อินเทอร์เฟซพื้นที่เก็บข้อมูล, คลาสเอนทิตี
  • ขึ้นอยู่กับ หลัก
• การสาธิต :
  • แอปพลิเคชันสาธิตเซิร์ฟเวอร์ FIDO2
  • ขึ้นอยู่กับ ฐาน

• ประเภทเอกสารรับรองที่รองรับ:
  • ขั้นพื้นฐาน
  • ตัวเอง
  • CA รับรอง (CA ความเป็นส่วนตัว)
  • ไม่มี
  • การลบข้อมูลระบุตัวตน CA
• รูปแบบการรับรองที่รองรับ:
  • บรรจุ
  • ทีพีเอ็ม
  • การรับรองคีย์ Android
  • Android SafetyNet
  • ฟิโด้ U2F
  • แอปเปิล ผู้ไม่ประสงค์ออกนาม
  • ไม่มี
• การรวมบริการข้อมูลเมตา:
  • FIDO MDSv3

เริ่มต้นเซิร์ฟเวอร์ RP และเซิร์ฟเวอร์ FIDO2:

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

หากคุณกำหนดค่า Docker ไว้ คุณสามารถใช้ docker-compose ได้

 # Start both RP Server and FIDO2 Server
docker-compose up

เมื่อแอปพลิเคชันทำงานแล้ว ให้เข้าสู่หน้าทดสอบที่:

• http://localhost:8080/

เซิร์ฟเวอร์ FIDO2 ใช้ H2 เป็นฐานข้อมูลแบบฝังในสภาพแวดล้อมภายในเครื่อง ซึ่งควรแทนที่ด้วยฐานข้อมูลแบบสแตนด์อโลน (เช่น MySQL) สำหรับสภาพแวดล้อมชั่วคราว เบต้า หรือใช้งานจริง เข้าถึงเว็บคอนโซล H2 ได้ที่:

• http://localhost:8081/h2-console

• หาก data.sql ทำงานได้ไม่ดีในสภาพแวดล้อม IntelliJ ให้ลองแสดงความคิดเห็นในส่วนนี้ใน build.gradle

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

หากต้องการดูเอกสารประกอบ API ให้ทำตามขั้นตอนเหล่านี้:

1. ดำเนินการคำสั่งต่อไปนี้:

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. เข้าถึงเอกสารประกอบ API ตามเส้นทางต่อไปนี้:

• เซิร์ฟเวอร์: http://localhost:8081/docs/api-guide.html

หลังจากรันแอปพลิเคชันแล้ว คุณสามารถดูเอกสารคำแนะนำ API ได้ที่ลิงก์ด้านล่าง

• เซิร์ฟเวอร์: http://localhost:8080/swagger-ui.html
• เซิร์ฟเวอร์: http://localhost:8081/swagger-ui.html

เรายังให้บริการ Client SDK สำหรับแอปพลิเคชัน Android/iOS อีกด้วย โปรดดูด้านล่าง

• ขอแนะนำโอเพนซอร์ส Fido2 Client SDK
• LINE Webauthn สาธิต Kotlin
• LINE Webauthn เดโม Swift

วิธี checkOrigin จะตรวจสอบที่มาของคำขอจากแอปพลิเคชัน Android และ iOS ของ LINE ช่วยให้มั่นใจในความปลอดภัยโดยการตรวจสอบว่าต้นทางของคำขอตรงกับรายการต้นทางที่อนุญาตที่กำหนดไว้ล่วงหน้า

วิธีการกำหนดค่า หากต้องการใช้วิธี checkOrigin ให้ตั้งค่าต้นทางที่อนุญาตในไฟล์ application.yml นี่คือตัวอย่างการกำหนดค่า:

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

หมายเหตุ: แทนที่ aaa-bbb ด้วยค่าที่เหมาะสมสำหรับแอปพลิเคชันของคุณ

ข้อสำคัญ: การกำหนดค่านี้เป็นทางเลือกและจำเป็นเมื่อใช้งานร่วมกับแอปพลิเคชัน LINE WebAuthn สำหรับ Android และ iOS เท่านั้น

LY Engineering Blogs

• FIDO ที่ LINE: ก้าวแรกสู่โลกที่ไร้รหัสผ่าน
• FIDO ที่ LINE: เซิร์ฟเวอร์ FIDO2 เป็นโครงการโอเพ่นซอร์ส
• ขอแนะนำโอเพนซอร์ส Fido2 Client SDK

LY Tech Videos

• การสนับสนุนโอเพ่นซอร์สเริ่มต้นด้วย LINE FIDO2 Server
• การรับรองความถูกต้องของลูกค้าและไบโอเมตริกซ์ที่แข็งแกร่งโดยใช้ FIDO
• การรักษาความปลอดภัยมือถือข้ามแพลตฟอร์มที่ LINE
• เข้าสู่ระบบ LINE อย่างปลอดภัยด้วยรหัสไบโอเมตริกซ์แทนที่รหัสผ่าน

Internal

• แผนภาพลำดับ