Riepilogo
WebAuthn contribuisce ad aumentare la sicurezza introducendo
nel web l'autenticazione basata su credenziali con chiave pubblica e sarà presto supportato
in Chrome, Firefox ed Edge (con la specifica aggiornata).
Aggiunge un nuovo tipo di oggetto Credential, che però potrebbe causare il malfunzionamento dei siti web che utilizzano l'API Credential Management senza rilevare i tipi di credenziali specifici in uso.
Se attualmente lo stai facendo per il rilevamento delle funzionalità
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// use CM API
}
Prova invece a eseguire le seguenti operazioni
if (window.PasswordCredential || window.FederatedCredential) {
// Call navigator.credentials.get() to retrieve stored
// PasswordCredentials or FederatedCredentials.
}
if (window.PasswordCredential) {
// Get/Store PasswordCredential
}
if (window.FederatedCredential) {
// Get/Store FederatedCredential
}
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Call navigator.credentials.preventSilentAccess()
}
Guarda le modifiche apportate al codice campione come esempio.
Per saperne di più, continua a leggere quanto segue.
Che cos'è l'API Credential Management
L'API Credential Management (CM API) consente ai siti web di accedere in modo programmatico al magazzino delle credenziali dell'agente utente per memorizzare/recuperare le credenziali utente per l'origine della chiamata.
Le API di base sono:
navigator.credentials.get()navigator.credentials.store()navigator.credentials.create()navigator.credentials.preventSilentAccess()
La specifica dell'API CM originale definisce due tipi di credenziali:
PasswordCredentialFederatedCredential
PasswordCredential è una credenziale che contiene l'ID e la password dell'utente.
FederatedCredential è una credenziale che contiene l'ID utente e una stringa
che rappresenta un provider di identità.
Con queste due credenziali, i siti web possono:
- Consenti all'utente di accedere con una credenziali basata su password o federata salvata in precedenza non appena arriva (accesso automatico),
- Memorizza le credenziali federate o basate su password con cui l'utente ha eseguito l'accesso.
- Mantieni aggiornate le credenziali di accesso dell'utente (ad es. dopo la modifica di una password)
Che cos'è WebAuthn
WebAuthn (Web Authentication) aggiunge le credenziali con chiave pubblica all'API CM. Ad esempio, offre ai siti web un modo standardizzato per implementare l'autenticazione a due fattori utilizzando dispositivi di autenticazione conformi a FIDO 2.0.
A livello tecnico, WebAuthn estende l'API CM con l'interfaccia PublicKeyCredential.
Qual è il problema?
In precedenza abbiamo aiutato gli sviluppatori a rilevare le funzionalità dell'API CM con il seguente codice:
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Use CM API
}
But as you can see from the descriptions above, the `navigator.credentials` is
now expanded to support public-key credentials in addition to password
credentials and federated credentials.
The problem is that user agents don't necessarily support all kinds of
credentials. If you continue feature detect using `navigator.credentials`, your
website may break when you are using a certain credential type not supported by
the browser.
**Supported credential types by browsers**
<table class="properties with-heading-tint"><tbody><tr>
<th></th>
<th>PasswordCredential / FederatedCredential</th>
<th>PublicKeyCredential</th>
</tr><tr><th>Chrome
</th><td>Available
</td><td>In development
</td></tr><tr><th>Firefox
</th><td>N/A
</td><td>Aiming to ship on 60
</td></tr><tr><th>Edge
</th><td>N/A
</td><td>Implemented with <a href="https://blogs.windows.com/msedgedev/2016/04/12/a-world-without-passwords-windows-hello-in-microsoft-edge/">older API</a>. New API (navigator.credentials) coming soon.
</td></tr></tbody></table>
## The solution
You can avoid this by modifying feature detection code as follows to explicitly
test for the credential type that you intend to use.
```js
if (window.PasswordCredential || window.FederatedCredential) {
// Call navigator.credentials.get() to retrieve stored
// PasswordCredentials or FederatedCredentials.
}
if (window.PasswordCredential) {
// Get/Store PasswordCredential
}
if (window.FederatedCredential) {
// Get/Store FederatedCredential
}
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Call navigator.credentials.preventSilentAccess()
}
Come esempio, consulta le modifiche effettive apportate al codice di esempio.
Come riferimento, ecco come rilevare PublicKeyCredential aggiunto in WebAuthn:
if (window.PublicKeyCredential) {
// use CM API with PublicKeyCredential added in the WebAuthn spec
}
Cronologia
La prima implementazione disponibile di WebAuthn è Firefox e è prevista per essere stabile all'inizio di maggio 2018.
Finally
Per qualsiasi domanda, inviala a @agektmr o agektmr@chromium.org.