首頁>編程相關>其他源碼
下載

線路FIDO2伺服器

FIDO2(WebAuthn)伺服器取得FIDO聯盟正式認證

FIDO2證書

概述

FIDO(Fast IDentity Online)是線上身分驗證的開放標準,旨在消除密碼漏洞。 FIDO 使用公鑰加密技術,而不是密碼或 PIN 等對稱憑證。

本質上,用戶的設備產生密鑰對,安全地儲存私鑰並與伺服器共享公鑰。在註冊和身份驗證過程中,伺服器會向裝置發出質詢,裝置會使用私鑰以數位簽章回應。然後,伺服器使用儲存的公鑰驗證該簽名。這種質詢-回應協定有助於防止重播攻擊。

什麼是 FIDO2?

FIDO2 是針對 Web 和其他平台的 FIDO 標準的增強,受到主要 Web 瀏覽器和作業系統的支援。它包含兩個主要操作:註冊和身份驗證。

登記

  • 使用者選擇符合服務接受策略的 FIDO 身份驗證器。
  • 使用者透過指紋、PIN 或其他方法解鎖身份驗證器。
  • 產生公鑰/私鑰對;公鑰被發送到服務並與用戶的帳戶關聯,而私鑰保留在裝置上。
  • 該服務向設備發出挑戰,然後設備使用私鑰創建回應以完成註冊過程。

驗證

  • 該服務要求用戶使用先前註冊的設備登入。
  • 使用者使用與註冊時相同的方法解鎖驗證器。
  • 設備對服務的質詢進行簽章並將其發送回服務。
  • 該服務使用儲存的公鑰驗證簽名並授予存取權限。

挑戰-響應協議

註冊和身份驗證過程都利用質詢回應協定來防止重播攻擊。在註冊期間,質詢從伺服器發送到設備,設備使用其私鑰回應。同樣,在身份驗證期間,會發送另一個質詢來驗證使用者的身分。這確保了每次嘗試都是唯一且安全的。

截圖

Mac 上的 Chrome 瀏覽器(附 Touch ID)

註冊流程

模組

  • rp 伺服器
    • RP 伺服器演示
    • 取決於常見的
  • 常見的
    • FIDO2 伺服器和 RP 伺服器通常引用的訊息類
    • 包含FIDO核心域邏輯
    • 如果正在實現的 FIDO2 伺服器不與 RDB 交互,則應單獨使用此模組
    • 取決於常見的
  • 根據
    • 包含依賴 Spring JPA 的類
      • 服務實作類別、儲存庫介面、實體類
    • 取決於核心
  • 演示
    • FIDO2 伺服器演示應用程式
    • 取決於基礎

特徵

  • 支持的證明類型:
    • 基本的
    • 自己
    • 認證 CA(隱私權 CA)
    • 沒有任何
    • 匿名CA
  • 支援的證明格式:
    • 包裝好的
    • 全員生產管理
    • Android 金鑰認證
    • Android 安全網
    • FIDO U2F
    • 蘋果匿名者
    • 沒有任何
  • 元資料服務整合:
    • FIDO MDSv3

如何跑步

手動運行

啟動 RP 伺服器和 FIDO2 伺服器: 

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

用於演示的 Docker

如果您配置了 Docker,則可以使用 docker-compose。 

 # Start both RP Server and FIDO2 Server
docker-compose up

應用程式運行後,訪問測試頁面:

  • http://本地主機:8080/

本地資料庫

FIDO2 伺服器在本機環境中使用 H2 作為嵌入式資料庫,對於登台、測試版或生產環境,應將其替換為獨立資料庫(如 MySQL)。存取 H2 Web 控制台:

  • http://localhost:8081/h2-console

問題

  • 如果 data.sql 在 IntelliJ 環境中無法正常運作,請嘗試在 build.gradle 中對此部分進行註解。 
jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

API 指南

Spring REST 文件

若要查看 API 文檔,請依照下列步驟操作:

  1. 執行以下命令: 
     cd fido2-demo/demo
./gradlew makeRestDocs
./gradlew bootRun
  2. 透過以下路徑存取API文件:
  • 伺服器:http://localhost:8081/docs/api-guide.html

招搖的使用者介面

執行應用程式後,您可以透過以下連結查看API指南文件。

  • rpserver:http://localhost:8080/swagger-ui.html
  • 伺服器:http://localhost:8081/swagger-ui.html

LINE WebAuthn Android 和 iOS

我們也為 Android/iOS 應用程式提供客戶端 SDK。請看下文。

  • 介紹Fido2客戶端SDK開源
  • LINE Webauthn 示範 Kotlin
  • LINE Webauthn 示範 Swift

檢查來源配置

checkOrigin方法驗證來自 LINE 的 Android 和 iOS 應用程式的請求的來源。它透過檢查請求的來源是否與預先配置的允許來源清單相符來確保安全性。

如何設定 若要使用checkOrigin方法,請在application.yml檔案中設定允許的來源。這是一個設定範例: 

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

注意:aaa-bbb替換為適合您的應用程式的值。

重要提示:此配置是可選的,僅在與 Android 和 iOS 應用程式的 LINE WebAuthn 整合時才需要。

參考

LY Engineering Blogs

  • LINE 的 FIDO:邁向無密碼世界的第一步
  • LINE 上的 FIDO:FIDO2 伺服器作為開源項目
  • 介紹Fido2客戶端SDK開源

LY Tech Videos

  • 開源貢獻從 LINE FIDO2 Server 開始
  • 使用 FIDO 進行強大的客戶身份驗證和生物識別
  • LINE 的跨平台行動安全
  • 使用生物識別密鑰替換密碼確保 LINE 安全登入

Internal

  • 時序圖
展開
附加信息
相關應用
爲您推薦
相關資訊 全部