WebAuthn 是一种现代化的身份验证标准,它允许用户使用生物识别技术(如指纹、面部识别)或安全密钥进行身份验证。在使用 WebAuthn 时,开发者可以通过设置超时参数来限制身份验证请求的持续时间。然而,在某些情况下,尤其是在移动设备上,开发者可能会发现设置的超时参数并没有生效。
WebAuthn 超时参数的设置
WebAuthn 的 navigator.credentials.create() 方法接受一个包含 publicKey 属性的对象作为参数。publicKey 对象中可以包含一个 timeout 属性,用于指定身份验证请求的超时时间,单位为毫秒。
例如:
const publicKey = { "challenge": "testchanllengevalue", "rp": { "name": "test.com" }, "user": { "id": "12345-543212-12345-12345", "name": "NAME", "displayName": "NAME" }, "attestation": "direct", "timeout": 20000, // 20 秒超时 "authenticatorSelection": { "authenticatorAttachment": "platform", "requireResidentKey": false, "userVerification": "required" }, "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ] } navigator.credentials.create({ 'publicKey': publicKey }) .then(credential => { // 身份验证成功 }) .catch(error => { // 身份验证失败 console.error("WebAuthn 认证失败:", error); });
上述代码片段中,timeout 被设置为 20000 毫秒,即 20 秒。理论上,如果在 20 秒内用户没有完成身份验证,请求应该超时并返回错误。
移动设备上的超时问题
然而,在移动设备上,尤其是 android 设备上,情况可能会有所不同。在 Android 14 之前的版本中,WebAuthn 操作通常由 Play Services 处理。Play Services 在早期版本中不支持 WebAuthn 请求的超时功能。这意味着,即使设置了 timeout 参数,它也可能不会生效。
具体原因:
- Android 版本限制: Android 14 之前的版本,依赖于 google Play Services 来处理 WebAuthn 相关操作。
- Play Services 支持: 早期版本的 Google Play Services 缺乏对 WebAuthn 超时功能的支持。
解决方案与建议
- 考虑 Android 版本: 考虑到 Android 版本的差异,开发者需要意识到在 Android 14 以下的版本中,timeout 参数可能不会生效。
- 服务端超时机制: 建议在服务端实现额外的超时机制。即使客户端的超时设置失效,服务端仍然可以在一定时间内拒绝未完成的身份验证请求。
- 超时时间设置: WebAuthn 规范建议超时时间应反映 RP (Relying Party) 愿意信任其他认证因素的时间,或者建立挑战有效性的时间。规范建议最小超时时间为五分钟。在实际应用中,开发者应根据具体的安全需求和用户体验来调整超时时间。
- 错误处理: 完善错误处理机制,捕获可能出现的超时错误,并向用户提供友好的提示。
注意事项
- 超时时间单位: timeout 属性的单位是毫秒。
- 规范建议: 遵循 WebAuthn 规范,合理设置超时时间。
- 兼容性测试: 在不同的设备和浏览器上进行充分的兼容性测试,确保 WebAuthn 功能的稳定性和可靠性。
总结
虽然 WebAuthn 提供了 timeout 参数来控制身份验证请求的持续时间,但在移动设备上,由于 Android 版本的限制和 Play Services 的支持情况,超时设置可能不会生效。为了解决这个问题,开发者需要在服务端实现额外的超时机制,并合理设置超时时间,以确保安全性和用户体验。同时,进行充分的兼容性测试也是至关重要的。
评论(已关闭)
评论已关闭