Crie uma experiência de login que use chaves de acesso e ainda acomode usuários de senhas atuais.
Este guia explica como usar o preenchimento automático de formulários para permitir que os usuários façam login com chaves de acesso e senhas. O uso do preenchimento automático de formulário cria uma experiência de login unificada, simplificando a transição de senhas para o método de autenticação de chave de acesso mais seguro e fácil de usar.
Aprenda a implementar a interface condicional da WebAuthn para oferecer suporte a usuários de chaves de acesso e senhas com o mínimo de atrito nos seus formulários de login atuais.
Por que usar o preenchimento automático de formulários para fazer login com uma chave de acesso?
Com as chaves de acesso, os usuários podem fazer login em sites usando a impressão digital, o rosto ou o PIN do dispositivo.
Se todos os usuários tivessem chaves de acesso, o fluxo de autenticação poderia ser um único botão de login. Ao tocar no botão, o usuário pode verificar a conta diretamente com o bloqueio de tela e fazer login.
No entanto, a transição de senhas para chaves de acesso apresenta desafios. Os sites precisam oferecer suporte a usuários de senhas e chaves de acesso durante esse período. Esperar que os usuários se lembrem de quais sites usam chaves de acesso e pedir que escolham um método de login antecipadamente cria uma experiência ruim para eles.
As chaves de acesso também são uma tecnologia nova, e explicá-las com clareza pode ser difícil. Usar a interface de preenchimento automático familiar ajuda a resolver o desafio da transição e a necessidade de familiaridade do usuário.
Usar a interface condicional
Para oferecer suporte eficiente a usuários de chaves de acesso e senhas, inclua chaves de acesso nas sugestões de preenchimento automático do formulário. Essa abordagem usa a interface condicional, um recurso do padrão WebAuthn.
Quando o usuário se concentra no campo de entrada de nome de usuário, uma caixa de diálogo de preenchimento automático aparece, sugerindo chaves de acesso armazenadas junto com senhas salvas. O usuário pode selecionar uma chave de acesso ou uma senha e fazer login usando o bloqueio de tela do dispositivo se escolher uma chave de acesso.
Isso permite que os usuários façam login no seu site com o formulário de login atual, mas com o benefício adicional de segurança das chaves de acesso se eles tiverem uma.
Como funciona a autenticação por chave de acesso
Para autenticar com uma chave de acesso, use a API WebAuthn.
Os quatro componentes em um fluxo de autenticação de chave de acesso são:
- Back-end: armazena detalhes da conta do usuário, incluindo a chave pública.
- Front-end: se comunica com o navegador e busca os dados necessários do back-end.
- Navegador: executa seu JavaScript e interage com a API WebAuthn.
- Provedor de chave de acesso: cria e armazena a chave de acesso. Normalmente, é um gerenciador de senhas, como o Gerenciador de senhas do Google, ou uma chave de segurança.
O processo de autenticação de chaves de acesso segue este fluxo:
- O usuário acessa a página de login, e o front-end solicita um desafio de autenticação do back-end.
- O back-end gera e retorna um desafio da WebAuthn associado à conta do usuário.
- O front-end chama
navigator.credentials.get()com o desafio para iniciar a autenticação usando o navegador. - O navegador, interagindo com o provedor de chaves de acesso, pede ao usuário para selecionar uma chave de acesso (geralmente usando uma caixa de diálogo de preenchimento automático acionada ao focar no campo de login) e verificar a identidade usando o bloqueio de tela ou a biometria do dispositivo.
- Depois da verificação bem-sucedida do usuário, o provedor de chaves de acesso assina o desafio, e o navegador retorna a credencial de chave pública resultante (incluindo a assinatura) para o front-end.
- O front-end envia essa credencial ao back-end.
- O backend verifica a assinatura da credencial com a chave pública armazenada do usuário. Se a verificação for bem-sucedida, o back-end fará login do usuário.
Autenticar com uma chave de acesso usando o preenchimento automático de formulários
Para iniciar a autenticação por chaves de acesso usando o preenchimento automático de formulários, faça uma chamada condicional WebAuthn get quando a página de login for carregada. Essa chamada para
navigator.credentials.get() inclui a opção mediation: 'conditional'.
Uma solicitação condicional para a API navigator.credentials.get()
WebAuthn não mostra a interface imediatamente. Em vez disso, ele
aguarda em um estado pendente até que o usuário interaja com o campo de nome de usuário
do preenchimento automático. Se o usuário selecionar uma chave de acesso, o navegador vai resolver a promessa pendente com uma credencial para fazer login, ignorando o envio tradicional de formulário. Se o usuário escolher uma senha, a promessa não será resolvida,
e o fluxo padrão de login com senha vai continuar.rm. Então, é responsabilidade da página
fazer login do usuário.
Anotar campo de entrada do formulário
Para ativar o preenchimento automático de chaves de acesso, adicione o atributo autocomplete ao campo
nome de usuário input do formulário. Inclua username e webauthn como valores separados por espaços.
<input type="text" name="username" autocomplete="username webauthn" autofocus>
Adicionar autofocus a esse campo aciona automaticamente o preenchimento automático no carregamento de página, mostrando senhas e chaves de acesso disponíveis imediatamente.
Detecção de recursos
Antes de invocar uma chamada de API condicional da WebAuthn, verifique se:
- O navegador é compatível com o WebAuthn com
PublicKeyCredential.
' d='M96 183a64 64 0 0 1-23-23L17 64a128 128 0 0 0 111 192l55-96a64 64 0 0 1-87 23Z'/%3E%3Cpath fill='url(%23b)' d='M192 128a64 64 0 0 1-9 32l-55 96A128 128 0 0 0 239 64H128a64 64 0 0 1 64 64Z'/%3E%3Ccircle cx='128' cy='128' r='52' fill='%231a73e8'/%3E%3Cpath fill='url(%23c)' d='M96 73a64 64 0 0 1 32-9h111a128 128 0 0 0-222 0l56 96a64 64 0 0 1 23-87Z'/%3E%3C/svg%3E)
' xlink:href='%23A'%3E%3Cstop offset='.76' stop-opacity='0'/%3E%3Cstop offset='.95' stop-opacity='.5'/%3E%3Cstop offset='1'/%3E%3C/radialGradient%3E%3CradialGradient id='F' cx='2523' cy='4680' r='20243' gradientTransform='matrix(-.03715 .99931 -2.12836 -.07913 13579 3530)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2335c1f1'/%3E%3Cstop offset='.11' stop-color='%2334c1ed'/%3E%3Cstop offset='.23' stop-color='%232fc2df'/%3E%3Cstop offset='.31' stop-color='%232bc3d2'/%3E%3Cstop offset='.67' stop-color='%2336c752'/%3E%3C/radialGradient%3E%3CradialGradient id='G' cx='24247' cy='7758' r='9734' gradientTransform='matrix(.28109 .95968 -.78353 .22949 24510 -16292)' xlink:href='%23A'%3E%3Cstop offset='0' stop-color='%2366eb6e'/%3E%3Cstop offset='1' stop-color='%2366eb6e' stop-opacity='0'/%3E%3C/radialGradient%3E%3Cpath id='H' d='M24105 20053a9345 9345 0 01-1053 472 10202 10202 0 01-3590 646c-4732 0-8855-3255-8855-7432 0-1175 680-2193 1643-2729-4280 180-5380 4640-5380 7253 0 7387 6810 8137 8276 8137 791 0 1984-230 2704-456l130-44a12834 12834 0 006660-5282c220-350-168-757-535-565z'/%3E%3Cpath id='I' d='M11571 25141a7913 7913 0 01-2273-2137 8145 8145 0 01-1514-4740 8093 8093 0 013093-6395 8082 8082 0 011373-859c312-148 846-414 1554-404a3236 3236 0 012569 1297 3184 3184 0 01636 1866c0-21 2446-7960-8005-7960-4390 0-8004 4166-8004 7820 0 2319 538 4170 1212 5604a12833 12833 0 007684 6757 12795 12795 0 003908 610c1414 0 2774-233 4045-656a7575 7575 0 01-6278-803z'/%3E%3Cpath id='J' d='M16231 15886c-80 105-330 250-330 566 0 260 170 512 472 723 1438 1003 4149 868 4156 868a5954 5954 0 003027-839 6147 6147 0 001133-850 6180 6180 0 001910-4437c26-2242-796-3732-1133-4392-2120-4141-6694-6525-11668-6525-7011 0-12703 5635-12798 12620 47-3654 3679-6605 7996-6605 350 0 2346 34 4200 1007 1634 858 2490 1894 3086 2921 618 1067 728 2415 728 2952s-271 1333-780 1990z'/%3E%3Cuse fill='url(%23B)' xlink:href='%23H'/%3E%3Cuse fill='url(%23D)' opacity='.35' xlink:href='%23H'/%3E%3Cuse fill='url(%23C)' xlink:href='%23I'/%3E%3Cuse fill='url(%23E)' opacity='.4' xlink:href='%23I'/%3E%3Cuse fill='url(%23F)' xlink:href='%23J'/%3E%3Cuse fill='url(%23G)' xlink:href='%23J'/%3E%3C/svg%3E)
' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%239059ff' stop-opacity='0'/%3E%3Cstop offset='.3' stop-color='%238c4ff3' stop-opacity='.1'/%3E%3Cstop offset='.8' stop-color='%237716a8' stop-opacity='.5'/%3E%3Cstop offset='1' stop-color='%236e008b' stop-opacity='.6'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-g' cx='239.1' cy='34.6' r='171.6' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23ffe226'/%3E%3Cstop offset='.1' stop-color='%23ffdb27'/%3E%3Cstop offset='.3' stop-color='%23ffc82a'/%3E%3Cstop offset='.5' stop-color='%23ffa930'/%3E%3Cstop offset='.7' stop-color='%23ff7e37'/%3E%3Cstop offset='.8' stop-color='%23ff7139'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-h' cx='374' cy='-74.3' r='732.2' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-i' cx='304.6' cy='7.1' r='536.4' gradientTransform='rotate(84 303 4)' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='0' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.3' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.6' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-j' cx='235' cy='98.1' r='457.1' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.5' stop-color='%23ff980e'/%3E%3Cstop offset='.6' stop-color='%23ff5634'/%3E%3Cstop offset='.7' stop-color='%23ff3647'/%3E%3Cstop offset='.9' stop-color='%23e31587'/%3E%3C/radialGradient%3E%3CradialGradient id='ff-k' cx='355.7' cy='124.9' r='500.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.2' stop-color='%23ffe141'/%3E%3Cstop offset='.5' stop-color='%23ffaf1e'/%3E%3Cstop offset='.6' stop-color='%23ff980e'/%3E%3C/radialGradient%3E%3ClinearGradient id='ff-a' x1='446.9' y1='76.8' x2='47.9' y2='461.8' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.1' stop-color='%23fff44f'/%3E%3Cstop offset='.1' stop-color='%23ffe847'/%3E%3Cstop offset='.2' stop-color='%23ffc830'/%3E%3Cstop offset='.4' stop-color='%23ff980e'/%3E%3Cstop offset='.4' stop-color='%23ff8b16'/%3E%3Cstop offset='.5' stop-color='%23ff672a'/%3E%3Cstop offset='.5' stop-color='%23ff3647'/%3E%3Cstop offset='.7' stop-color='%23e31587'/%3E%3C/linearGradient%3E%3ClinearGradient id='ff-l' x1='442.1' y1='74.8' x2='102.6' y2='414.3' gradientUnits='userSpaceOnUse'%3E%3Cstop offset='.2' stop-color='%23fff44f' stop-opacity='.8'/%3E%3Cstop offset='.3' stop-color='%23fff44f' stop-opacity='.6'/%3E%3Cstop offset='.5' stop-color='%23fff44f' stop-opacity='.2'/%3E%3Cstop offset='.6' stop-color='%23fff44f' stop-opacity='0'/%3E%3C/linearGradient%3E%3C/defs%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134a120 120 0 0 0-66 25 71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a229 229 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zM202 355l3 1-3-1zm55-145zm198-31z' fill='url(%23ff-a)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-b)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60 14 26 22 53 25 72v1a207 207 0 0 1-206 279c-113-3-212-87-231-197-3-17 0-26 2-40-2 11-3 14-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121z' fill='url(%23ff-c)'/%3E%3Cpath d='m362 195 1 1a130 130 0 0 0-22-29C266 92 322 5 331 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62z' fill='url(%23ff-d)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-e)'/%3E%3Cpath d='M257 210c-1 6-22 26-29 26-68 0-80 41-80 41 3 35 28 64 57 79l4 2 7 3a107 107 0 0 0 31 6c120 6 143-143 57-186 22-4 45 5 58 14-21-37-60-62-105-62l-9 1a120 120 0 0 0-66 25l17 16c16 16 58 33 58 35z' fill='url(%23ff-f)'/%3E%3Cpath d='m171 151 5 3a111 111 0 0 1-1-58c-25 11-44 29-58 44 1 0 36 0 54 11z' fill='url(%23ff-g)'/%3E%3Cpath d='M18 261a242 242 0 0 0 231 197 207 207 0 0 0 206-279c8 56-20 110-64 146-86 71-169 43-186 31l-3-1c-50-24-71-70-67-110-42 0-57-35-57-35s38-28 89-4c46 22 90 4 90 4 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5l-5-3c-18-11-52-11-54-11-9-12-9-51-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73c0 1-9 38-5 57z' fill='url(%23ff-h)'/%3E%3Cpath d='M341 167a130 130 0 0 1 22 29 46 46 0 0 1 4 3c55 50 26 121 24 126 44-36 72-90 64-146-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-9 5-65 92 10 167z' fill='url(%23ff-i)'/%3E%3Cpath d='M367 199a46 46 0 0 0-4-3l-1-1c-13-9-36-18-58-15 86 44 63 193-57 187a107 107 0 0 1-31-6 131 131 0 0 1-11-5c17 12 99 39 186-31 2-5 31-76-24-126z' fill='url(%23ff-j)'/%3E%3Cpath d='M148 277s12-41 80-41c7 0 28-20 29-26s-44 18-90-4c-51-24-89 4-89 4s15 35 57 35c-4 40 16 85 67 110l3 1c-29-15-54-44-57-79z' fill='url(%23ff-k)'/%3E%3Cpath d='M479 166c-11-25-32-52-49-60a249 249 0 0 1 25 73c-27-68-73-95-111-155a255 255 0 0 1-8-14 44 44 0 0 1-4-9 1 1 0 0 0 0-1 1 1 0 0 0-1 0c-60 35-81 101-83 134l9-1c45 0 84 25 105 62-13-9-36-18-58-14 86 43 63 192-57 186a107 107 0 0 1-31-6 131 131 0 0 1-11-5l-3-1 3 1c-29-15-54-44-57-79 0 0 12-41 80-41 7 0 28-20 29-26 0-2-42-19-58-35l-17-16a71 71 0 0 0-6-5 111 111 0 0 1-1-58c-25 11-44 29-58 44-9-12-9-52-8-60l-8 4a175 175 0 0 0-24 21 210 210 0 0 0-22 26 203 203 0 0 0-32 73l-1 2-2 15a279 279 0 0 0-4 34v1a240 240 0 0 0 477 40l1-9c5-41 0-84-15-121zm-24 13z' fill='url(%23ff-l)'/%3E%3C/svg%3E)
' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-color='%2324a5f3' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%231e8ceb' /%3E%3C/radialGradient%3E%3CradialGradient id='s-j' cx='109.3' cy='13.8' r='93.1' gradientTransform='matrix(-.02 1.1 -1.04 -.02 137 -115)' xlink:href='%23s-b'%3E%3Cstop offset='0' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235488d6' stop-opacity='0' /%3E%3Cstop offset='1' stop-color='%235d96eb' /%3E%3C/radialGradient%3E%3C/defs%3E%3Crect width='220' height='220' x='22' y='-107' fill='url(%23s-a)' ry='49' transform='matrix(.57 0 0 .57 187 256)' /%3E%3Cg transform='translate(194 190)'%3E%3Ccircle cx='67.8' cy='67.7' fill='url(%23s-c)' paint-order='stroke fill markers' r='54' /%3E%3Ccircle cx='-69.9' cy='69.3' fill='url(%23s-i)' transform='translate(138 -2)' r='54' /%3E%3C/g%3E%3Cellipse cx='120' cy='14.2' fill='url(%23s-j)' rx='93.1' ry='93.7' transform='matrix(.58 0 0 .58 192 250)' /%3E%3Cg transform='matrix(.58 0 0 .57 197 182)'%3E%3Cpath fill='%23cac7c8' d='M46 192h1l72-48-7-9-66 57Z' /%3E%3Cpath fill='%23fbfffc' d='M46 191v1l66-57-7-9-59 65Z' /%3E%3Cpath fill='url(%23s-d)' d='m119 144-7-9 66-57-59 66Z' /%3E%3Cpath fill='%23fb645c' d='m105 126 7 9 66-57-1-1-72 49Z' /%3E%3C/g%3E%3Cpath stroke='%23fff' stroke-linecap='round' stroke-miterlimit='1' stroke-width='1.3' d='m287 278 3-2m-12-17 8-2m-8-3h4m-4-13 8 2m-8 3h4m-1-13 7 3m-4-11 7 4m-2-11 6 6m0-12 6 7m1-11 4 6m4-10 3 7m5-9 2 7m15-7-1 7m10-5-3 7m11-4-4 7m11-2-5 6m16 7-7 4m10 4-7 3m10 6-8 1m8 16-8-2m5 10-7-3m4 11-7-4m2 11-6-5m0 11-5-6m-2 11-4-7m-4 11-3-8m-6 10-1-8m-16 8 2-8m-10 5 3-7m-11 4 4-7m-11 2 5-6m-8 3 3-3m4 8 2-3m5 8 2-4m6 7 1-4m8 5v-4m8 4v-4m9 3-1-4m9 1-2-4m9 0-2-4m9-2-3-3m8-4-3-2m8-5-4-2m7-6-4-1m5-8h-4m4-8h-4m3-9-4 1m1-9-4 2m-1-9-3 2m-2-9-3 3m-4-8-2 3m-5-8-2 4m-6-6-1 3m-8-5v4m-8-4v4m-9-2 1 3m-9 0 2 3m-9 1 2 3m-9 2 3 3m-8 4 3 2m-8 5 4 2m-7 6 4 1m-4 25 4-1m-2 5 7-3m-6 7 4-2m-2 6 7-4m-13-21h8m41-41v-8m0 99v-8m49-42h-8' transform='translate(-65 8)' /%3E%3C/svg%3E)
- O navegador oferece suporte à detecção de recursos com
PublicKeyCredential.getClientCapabilities().
- O navegador é compatível com a interface condicional do WebAuthn com
conditionalGet.
O snippet a seguir mostra como verificar se o navegador é compatível com esses recursos:
if (window.PublicKeyCredential && PublicKeyCredential.getClientCapabilities) {
const capabilities = await PublicKeyCredential.getClientCapabilities();
// Check if conditional mediation is available.
if (capabilities.conditionalGet === true) {
// The browser supports conditional mediation.
}
}
Buscar informações do back-end
O back-end precisa fornecer várias opções ao front-end para iniciar a chamada
navigator.credentials.get(). Essas opções geralmente são buscadas como um objeto JSON de um endpoint no seu servidor.
As principais propriedades no objeto de opções incluem:
challenge: um desafio gerado pelo servidor em um ArrayBuffer (normalmente codificado em Base64URL para transporte JSON). Isso é essencial para evitar ataques de repetição. Seu servidor precisa gerar um novo desafio para cada tentativa de login e invalidá-lo após um curto período ou se uma tentativa falhar.allowCredentials: uma matriz de descritores de credenciais. Transmita uma matriz vazia. Isso solicita ao navegador que liste todas as credenciais dorpIdespecificado.userVerification: especifica sua preferência de verificação do usuário, como exigir um bloqueio de tela do dispositivo. O valor padrão e recomendado é"preferred". Os valores possíveis são:"required": a verificação do usuário precisa ser feita pelo autenticador (como PIN ou biometria). A operação falha se a verificação não puder ser realizada."preferred": o autenticador tenta fazer a verificação do usuário, mas a operação pode ser concluída sem ela."discouraged": o autenticador deve evitar a verificação do usuário, se possível.
rpId: o ID da parte confiável, geralmente o domínio do seu site (comoexample.com). Esse valor precisa corresponder exatamente aorp.idusado quando a credencial de chave de acesso foi criada.
Seu servidor precisa construir esse objeto de opções. Os valores de ArrayBuffer (como o challenge) precisam ser codificados em Base64URL para transporte JSON. No front-end, depois de analisar o JSON, use
PublicKeyCredential.parseRequestOptionsFromJSON()
para converter o objeto (incluindo a decodificação de strings Base64URL) no formato
esperado por navigator.credentials.get().
O snippet de código a seguir mostra como buscar e decodificar as informações necessárias para autenticar com uma chave de acesso.
// Fetch an encoded PubicKeyCredentialRequestOptions from the server.
const _options = await fetch('/webauthn/signinRequest');
// Deserialize and decode the PublicKeyCredentialRequestOptions.
const decoded_options = JSON.parse(_options);
const options = PublicKeyCredential.parseRequestOptionsFromJSON(decoded_options);
...
Chame a API WebAuthn com a flag conditional para autenticar o usuário.
Depois de preparar o objeto publicKeyCredentialRequestOptions (chamado de
options no código de exemplo abaixo), chame
navigator.credentials.get() para iniciar a autenticação
condicional com chaves de acesso.
// To abort a WebAuthn call, instantiate an AbortController.
const abortController = new AbortController();
// Invoke WebAuthn to authenticate with a passkey.
const credential = await navigator.credentials.get({
publicKey: options,
signal: abortController.signal,
// Specify 'conditional' to activate conditional UI
mediation: 'conditional'
});
Parâmetros principais para essa chamada:
publicKey: precisa ser o objetopublicKeyCredentialRequestOptions(chamadooptionsno exemplo) que você buscou do servidor e processou na etapa anterior.signal: transmitir um sinal deAbortController(comoabortController.signal) permite cancelar de maneira programática a solicitação deget(). Isso é útil quando você quer invocar outra chamada WebAuthn.mediation: 'conditional': essa é a flag crucial que torna a chamada WebAuthn condicional. Ele informa ao navegador para aguardar a interação do usuário com um comando de preenchimento automático em vez de mostrar imediatamente uma caixa de diálogo modal.
Envie a credencial de chave pública retornada ao servidor RP
AIf the user selects a passkey and successfully verifies their identity (for
instance, using their device screen lock), the navigator.credentials.get()
promise resolves. Isso retorna um objeto PublicKeyCredential para seu front-end.
A promessa pode ser rejeitada por vários motivos. Você precisa processar esses erros
no seu código verificando a propriedade name do objeto Error:
NotAllowedError: o usuário cancelou a operação ou nenhuma chave de acesso foi selecionada.AbortError: a operação foi cancelada, possivelmente pelo seu código usando umAbortController.- Outras exceções: ocorreu um erro inesperado. Normalmente, o navegador mostra uma caixa de diálogo de erro ao usuário.
O objeto PublicKeyCredential contém várias propriedades. As principais propriedades relevantes para autenticação incluem:
id: o ID codificado em base64url da credencial de chave de acesso autenticada.rawId: Uma versão ArrayBuffer do ID da credencial.response.clientDataJSON: um ArrayBuffer de dados do cliente. Esse campo contém informações como o desafio e a origem que seu servidor precisa verificar.response.authenticatorData: Um ArrayBuffer de dados do autenticador. Esse campo inclui informações como o ID da RP.response.signature: Um ArrayBuffer que contém a assinatura. Esse valor é o núcleo da credencial, e seu servidor precisa verificar essa assinatura usando a chave pública armazenada para a credencial .response.userHandle: um ArrayBuffer que contém o ID do usuário fornecido durante o registro da chave de acesso.authenticatorAttachment: indica se o autenticador faz parte do dispositivo cliente (platform) ou é externo (cross-platform). Um anexocross-platformpode ocorrer se o usuário fez login com um smartphone. Nesses casos, peça para eles criar uma chave de acesso no dispositivo atual para facilitar o acesso no futuro.type: este campo está sempre definido como"public-key".
Para enviar esse objeto PublicKeyCredential ao back-end, primeiro chame o método
.toJSON(). Esse método cria uma versão serializável em JSON da credencial, que processa corretamente a conversão de propriedades ArrayBuffer (como rawId, clientDataJSON, authenticatorData, signature e userHandle) para strings codificadas em Base64URL. Em seguida, use JSON.stringify() para converter esse objeto
em uma string e envie no corpo da solicitação ao servidor.
...
// Encode and serialize the PublicKeyCredential.
const _result = credential.toJSON();
const result = JSON.stringify(_result);
// Encode and send the credential to the server for verification.
const response = await fetch('/webauthn/signinResponse', {
method: 'post',
credentials: 'same-origin',
body: result
});
Verificar a assinatura
Quando o servidor de back-end recebe a credencial de chave pública, ele precisa verificar a autenticidade dela. Isso envolve:
- Analisando os dados de credenciais.
- Pesquisando a chave pública armazenada associada ao
idda credencial. - Verificando o
signaturerecebido em relação à chave pública armazenada. - Validar outros dados, como o desafio e a origem.
Recomendamos usar uma biblioteca FIDO/WebAuthn do lado do servidor para processar essas operações criptográficas com segurança. Você encontra bibliotecas de código aberto no repositório awesome-webauthn do GitHub (link em inglês).
Se a assinatura e todas as outras declarações forem válidas, o servidor poderá fazer login do usuário. Para etapas detalhadas de validação do lado do servidor, consulte Autenticação de chaves de acesso do lado do servidor
Sinaliza se as credenciais correspondentes não forem encontradas no back-end.
Se o servidor de back-end não encontrar uma credencial com um ID correspondente durante o login, talvez o usuário tenha excluído essa chave de acesso do servidor mas não do provedor dela. Essa incompatibilidade pode levar a uma experiência confusa para o usuário se o provedor de chave de acesso continuar sugerindo uma chave que não funciona mais com seu site. Para melhorar isso, sinalize ao provedor de chaves de acesso para remover a chave de acesso órfã.
É possível usar o método PublicKeyCredential.signalUnknownCredential(), parte da
API Webauthn Signal,
para informar ao provedor de chaves de acesso que a credencial especificada foi removida ou
não existe. Chame esse método estático no lado do cliente se o servidor indicar (por exemplo, com um código de status HTTP específico, como 404) que um ID de credencial apresentado é desconhecido. Forneça o ID do RP e o ID da credencial desconhecida a esse método. O provedor de chaves de acesso, se compatível com o indicador, precisa
remover a chave de acesso.
// Detect authentication failure due to lack of the credential
if (response.status === 404) {
// Feature detection
if (PublicKeyCredential.signalUnknownCredential) {
await PublicKeyCredential.signalUnknownCredential({
rpId: "example.com",
credentialId: "vI0qOggiE3OT01ZRWBYz5l4MEgU0c7PmAA" // base64url encoded credential ID
});
} else {
// Encourage the user to delete the passkey from the password manager nevertheless.
...
}
}
Após a autenticação
Dependendo de como o usuário fez login, sugerimos fluxos diferentes a seguir.
Se o usuário fez login sem uma chave de acesso
Se o usuário fez login no seu site sem uma chave de acesso, talvez ele não tenha uma chave de acesso registrada para essa conta ou no dispositivo atual. Este é um momento oportuno para incentivar a criação de chaves de acesso. Considere as seguintes abordagens:
- Fazer upgrade de senhas para chaves de acesso: use a criação condicional, um recurso da WebAuthn que permite ao navegador criar automaticamente uma chave de acesso para o usuário após um login bem-sucedido com senha. Isso pode melhorar significativamente a adoção de chaves de acesso ao simplificar o processo de criação. Saiba como funciona e como implementar em Ajudar os usuários a adotar chaves de acesso com mais facilidade
- Solicitar manualmente a criação de uma chave de acesso: incentive os usuários a criar uma chave de acesso. Isso pode ser eficaz depois que um usuário conclui um processo de login mais complexo, como a autenticação multifator (MFA). No entanto, evite solicitações excessivas, que podem ser intrusivas para a experiência do usuário".
Para saber como incentivar os usuários a criar uma chave de acesso e conhecer outras boas práticas, consulte os exemplos em Como comunicar chaves de acesso aos usuários.
Se o usuário tiver feito login com uma chave de acesso
Depois que um usuário faz login com uma chave de acesso, você tem várias oportunidades para melhorar ainda mais a experiência e manter a consistência da conta.
Incentivar a criação de uma nova chave de acesso após uma autenticação entre dispositivos
Se um usuário fizer login com uma chave de acesso usando um mecanismo entre dispositivos (por exemplo, lendo um QR code com o smartphone), a chave de acesso usada poderá não ser armazenada localmente no dispositivo em que ele está fazendo login. Isso pode acontecer quando:
- Eles têm uma chave de acesso, mas em um provedor que não é compatível com o sistema operacional ou navegador de login.
- O usuário perdeu o acesso ao provedor da chave de acesso no dispositivo de login, mas uma chave de acesso ainda está disponível em outro.
Nesse caso, peça para o usuário criar uma nova chave de acesso no dispositivo atual. Isso pode evitar que eles repitam o processo de login entre dispositivos no futuro. Para determinar se o usuário fez login usando uma chave de acesso entre dispositivos, verifique a propriedade authenticatorAttachment da credencial. Se o valor for "cross-platform", isso indica uma autenticação entre dispositivos. Se for o caso, explique a conveniência de criar uma nova chave de acesso e
oriente o processo de criação.
Sincronizar detalhes da chave de acesso com o provedor usando indicadores
Para garantir consistência e uma melhor experiência do usuário, a parte confiável (RP) pode usar a API WebAuthn Signals para comunicar atualizações sobre credenciais e informações do usuário ao provedor de chaves de acesso.
Por exemplo, para manter a lista de chaves de acesso de um usuário precisa, mantenha as credenciais sincronizadas no back-end. Você pode sinalizar que uma chave de acesso não existe mais para que os provedores de chave de acesso possam remover as chaves de acesso desnecessárias.
Da mesma forma, você pode sinalizar se um usuário atualizar o nome de usuário ou o nome de exibição no seu serviço para manter as informações do usuário exibidas pelo provedor de chaves de acesso (por exemplo, em caixas de diálogo de seleção de conta) atualizadas.
Para saber mais sobre as práticas recomendadas para manter as chaves de acesso consistentes, consulte Manter as chaves de acesso consistentes com as credenciais no seu servidor com a API Signal.
Não pedir um segundo fator
As chaves de acesso oferecem proteção robusta e integrada contra ameaças comuns, como phishing. Portanto, um segundo fator de autenticação não adiciona um valor de segurança significativo. Em vez disso, ela cria uma etapa desnecessária para os usuários durante o login.
Lista de verificação
- Permitir que os usuários façam login com uma chave de acesso usando o preenchimento automático de formulários.
- Sinaliza quando a credencial correspondente de uma chave de acesso não é encontrada no back-end.
- Peça aos usuários para criar uma chave de acesso manualmente se eles ainda não tiverem feito isso após um login.
- Criar automaticamente uma chave de acesso (criação condicional) depois que o usuário fizer login com uma senha (e um segundo fator).
- Solicite a criação de uma chave de acesso local se o usuário tiver feito login com uma chave de acesso entre dispositivos.
- Sinalize a lista de chaves de acesso disponíveis e os detalhes atualizados do usuário (nome de usuário, nome de exibição) para o provedor após o login ou quando ocorrerem mudanças.
Recursos
- Autenticação de chaves de acesso do lado do servidor
- Criar uma chave de acesso para logins sem senha
- Ajudar os usuários a gerenciar chaves de acesso com eficiência
- Chaves de acesso
- Documento da Apple: como autenticar um usuário por um serviço da Web
- Documento do Google: login sem senha com chaves de acesso