JavaScript生物识别_WebAuthn认证流程

WebAuthn通过公钥加密和生物识别实现无密码认证，提升安全性和用户体验。1. 注册时调用navigator.credentials.create()生成密钥对，公钥由服务器存储，私钥安全保存在设备中；2. 登录时通过navigator.credentials.get()获取凭证，使用私钥对挑战进行签名完成身份验证；3. 服务器负责生成挑战、验证签名结构、校验源和rpId一致性，并维护用户与凭证映射；4. 生物识别仅用于本地验证用户存在，解锁私钥时不暴露生物数据，保障隐私。该方案依赖前后端协同，实现抗钓鱼、防重放的安全认证。

WebAuthn（Web Authentication）是一种基于标准的API，允许网站通过公钥加密和生物识别技术（如指纹、面部识别）或安全密钥实现强身份验证。它取代了传统密码登录，提升安全性与用户体验。以下是使用JavaScript实现WebAuthn认证的基本流程。

1. 注册流程（注册新凭证）

用户首次注册时，网站请求浏览器生成一对公私钥，并将公钥发送至服务器保存，私钥则安全存储在设备中（如TPM、Secure Enclave或安全密钥）。

前端（JavaScript）操作：

• 调用 navigator.credentials.create() 发起注册请求
• 传入服务器生成的挑战（challenge）、RP信息、用户信息等参数
• 用户通过指纹、面容或PIN完成身份确认
• 浏览器生成密钥对并返回包含公钥的凭证响应
• 将响应数据（如 attestationObject、clientDataJSON）发送至服务器验证并存储

示例代码片段：

立即学习“Java免费学习笔记（深入）”；

const publicKey = {
  challenge: new Uint8Array([/* 来自服务器的随机字节 */]),
  rp: { name: "My App" },
  user: {
    id: new Uint8Array(16),
    name: "user@example.com",
    displayName: "John Doe"
  },
  pubKeyCredParams: [
    { type: "public-key", alg: -7 }, // ES256
    { type: "public-key", alg: -257 } // RS256
  ],
  timeout: 60000,
  authenticatorSelection: {
    userVerification: "preferred"
  }
};
const credential = await navigator.credentials.create({ publicKey });
// 发送 credential 到服务器保存

2. 认证流程（登录验证）

用户登录时，服务器要求验证其拥有之前注册的私钥，通过签名挑战来完成。

前端（JavaScript）操作：

Lifetoon

免费的AI漫画创作平台

下载

• 调用 navigator.credentials.get() 请求认证
• 服务器提供 challenge 和已注册的凭证ID列表
• 用户通过生物识别或安全设备确认身份
• 浏览器使用私钥对挑战进行签名并返回签名数据
• 将签名响应发送至服务器验证合法性

示例代码片段：

立即学习“Java免费学习笔记（深入）”；

const assertion = await navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* 服务器下发的挑战 */]),
    allowCredentials: [{
      type: 'public-key',
      id: new Uint8Array([/* 已注册的凭证ID */])
    }],
    timeout: 60000
  }
});
// 发送 assertion.response 到服务器验证签名

3. 服务器端关键职责

虽然前端使用JavaScript驱动流程，但安全性依赖于后端正确实现：

• 生成并验证随机挑战（防止重放攻击）
• 验证 attestation/attestation 签名结构（如使用 COSE 格式）
• 校验 origin、rpId 是否匹配
• 维护用户与凭证ID的映射关系
• 在认证时验证签名是否由对应私钥生成

4. 生物识别的实际角色

生物识别（如Touch ID、Windows Hello）是“用户存在验证”（User Verification）的一种方式，实际不直接参与密钥运算：

• 私钥永不离开设备，签名在安全环境中执行
• 生物信息仅用于本地解锁私钥（例如触发 Secure Enclave）
• 系统可回退到 PIN 或设备密码
• 开发者无法获取生物数据，符合隐私保护设计

基本上就这些。WebAuthn结合JavaScript与现代浏览器能力，实现了无密码、抗钓鱼的安全认证，尤其适合需要高安全性的应用系统。