首页>编程相关>其他源码
下载

线路FIDO2服务器

FIDO2(WebAuthn)服务器获得FIDO联盟正式认证

FIDO2证书

概述

FIDO(Fast IDentity Online)是在线身份验证的开放标准,旨在消除密码漏洞。 FIDO 使用公钥加密技术,而不是密码或 PIN 等对称凭证。

本质上,用户的设备生成密钥对,安全地存储私钥并与服务器共享公钥。在注册和身份验证过程中,服务器会向设备发出质询,设备会使用私钥以数字签名进行响应。然后,服务器使用存储的公钥验证该签名。这种质询-响应协议有助于防止重放攻击。

什么是 FIDO2?

FIDO2 是针对 Web 和其他平台的 FIDO 标准的增强,受到主要 Web 浏览器和操作系统的支持。它包含两个主要操作:注册和身份验证。

登记

  • 用户选择符合服务接受策略的 FIDO 身份验证器。
  • 用户通过指纹、PIN 或其他方法解锁身份验证器。
  • 生成公钥/私钥对;公钥被发送到服务并与用户的帐户关联,而私钥保留在设备上。
  • 该服务向设备发出挑战,然后设备使用私钥创建响应以完成注册过程。

验证

  • 该服务要求用户使用之前注册的设备登录。
  • 用户使用与注册时相同的方法解锁验证器。
  • 设备对服务的质询进行签名并将其发送回服务。
  • 该服务使用存储的公钥验证签名并授予访问权限。

挑战-响应协议

注册和身份验证过程都利用质询响应协议来防止重放攻击。在注册期间,质询从服务器发送到设备,设备使用其私钥进行响应。同样,在身份验证期间,会发送另一个质询来验证用户的身份。这确保了每次尝试都是唯一且安全的。

截图

Mac 上的 Chrome 浏览器(带 Touch ID)

注册流程

模块

  • rp 服务器
    • RP 服务器演示
    • 取决于常见的
  • 常见的
    • FIDO2 服务器和 RP 服务器通常引用的消息类
    • 包含FIDO核心域逻辑
    • 如果正在实现的 FIDO2 服务器不与 RDB 交互,则应单独使用此模块
    • 取决于常见的
  • 根据
    • 包含依赖于 Spring JPA 的类
      • 服务实现类、存储库接口、实体类
    • 取决于核心
  • 演示
    • FIDO2 服务器演示应用程序
    • 取决于基础

特征

  • 支持的证明类型:
    • 基本的
    • 自己
    • 认证 CA(隐私 CA)
    • 没有任何
    • 匿名CA
  • 支持的证明格式:
    • 包装好的
    • 全员生产管理
    • Android 密钥认证
    • Android 安全网
    • FIDO U2F
    • 苹果匿名者
    • 没有任何
  • 元数据服务集成:
    • FIDO MDSv3

如何跑步

手动运行

启动 RP 服务器和 FIDO2 服务器: 

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

用于演示的 Docker

如果您配置了 Docker,则可以使用 docker-compose。 

 # Start both RP Server and FIDO2 Server
docker-compose up

应用程序运行后,访问测试页面:

  • http://本地主机:8080/

本地数据库

FIDO2 服务器在本地环境中使用 H2 作为嵌入式数据库,对于登台、测试版或生产环境,应将其替换为独立数据库(如 MySQL)。访问 H2 Web 控制台:

  • http://localhost:8081/h2-console

问题

  • 如果 data.sql 在 IntelliJ 环境中不能正常工作,请尝试在 build.gradle 中对此部分进行注释。 
jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

API 指南

Spring REST 文档

要查看 API 文档,请按照以下步骤操作:

  1. 执行以下命令: 
     cd fido2-demo/demo
./gradlew makeRestDocs
./gradlew bootRun
  2. 通过以下路径访问API文档:
  • 服务器:http://localhost:8081/docs/api-guide.html

招摇的用户界面

运行应用程序后,您可以通过以下链接查看API指南文档。

  • rpserver:http://localhost:8080/swagger-ui.html
  • 服务器:http://localhost:8081/swagger-ui.html

LINE WebAuthn Android 和 iOS

我们还为 Android/iOS 应用程序提供客户端 SDK。请看下文。

  • 介绍Fido2客户端SDK开源
  • LINE Webauthn 演示 Kotlin
  • LINE Webauthn 演示 Swift

检查源配置

checkOrigin方法验证来自 LINE 的 Android 和 iOS 应用程序的请求的来源。它通过检查请求的来源是否与预先配置的允许来源列表相匹配来确保安全性。

如何配置 要使用checkOrigin方法,请在application.yml文件中设置允许的来源。这是一个配置示例: 

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

注意:aaa-bbb替换为适合您的应用程序的值。

重要提示:此配置是可选的,仅在与 Android 和 iOS 应用程序的 LINE WebAuthn 集成时才需要。

参考

LY Engineering Blogs

  • LINE 的 FIDO:迈向无密码世界的第一步
  • LINE 上的 FIDO:FIDO2 服务器作为开源项目
  • 介绍Fido2客户端SDK开源

LY Tech Videos

  • 开源贡献从 LINE FIDO2 Server 开始
  • 使用 FIDO 进行强大的客户身份验证和生物识别
  • LINE 的跨平台移动安全
  • 使用生物识别密钥替换密码确保 LINE 安全登录

Internal

  • 时序图
展开
附加信息
相关应用
为您推荐
相关资讯 全部