Présentation détaillée des identifiants visibles

Bien que les identifiants FIDO tels que les clés d'accès visent à remplacer les mots de passe, la plupart d'entre eux peuvent également permettre à l'utilisateur de ne pas saisir de nom d'utilisateur. Les utilisateurs peuvent ainsi s'authentifier en sélectionnant un compte dans une liste de clés d'accès qu'ils possèdent pour le site Web actuel.

Les versions précédentes des clés de sécurité étaient conçues comme des méthodes d'authentification à deux facteurs et nécessitaient les ID des identifiants potentiels, ce qui obligeait à saisir un nom d'utilisateur. Les identifiants qu'une clé de sécurité peut trouver sans connaître leur ID sont appelés "identifiants visibles". La plupart des identifiants FIDO créés aujourd'hui sont des identifiants détectables, en particulier les clés d'accès stockées dans un gestionnaire de mots de passe ou sur une clé de sécurité moderne.

Pour vous assurer que vos identifiants sont créés en tant que clés d'accès (identifiants visibles), spécifiez residentKey et requireResidentKey lors de leur création.

Les parties de confiance (RP) peuvent utiliser des identifiants détectables en omettant allowCredentials lors de l'authentification par clé d'accès. Dans ce cas, le navigateur ou le système affiche à l'utilisateur une liste des clés d'accès disponibles, identifiées par la propriété user.name définie au moment de la création. Si l'utilisateur en sélectionne une, la valeur user.id sera incluse dans la signature générée. Le serveur peut ensuite utiliser cet ID ou celui renvoyé pour rechercher le compte au lieu d'un nom d'utilisateur saisi.

Les UI de sélecteur de compte, comme celles évoquées précédemment, n'affichent jamais d'identifiants non visibles.

requireResidentKey et residentKey

Pour créer une clé d'accès, spécifiez authenticatorSelection.residentKey et authenticatorSelection.requireResidentKey sur navigator.credentials.create() avec les valeurs indiquées ci-dessous.

async function register () {
  // ...

  const publicKeyCredentialCreationOptions = {
    // ...
    authenticatorSelection: {
      authenticatorAttachment: 'platform',
      residentKey: 'required',
      requireResidentKey: true,
    }
  };

  const credential = await navigator.credentials.create({
    publicKey: publicKeyCredentialCreationOptions
  });

  // This does not run until the user selects a passkey.
  const credential = {};
  credential.id = cred.id;
  credential.rawId = cred.id; // Pass a Base64URL encoded ID string.
  credential.type = cred.type;

  // ...
}

residentKey :

  • 'required': Vous devez créer des identifiants détectables. Si elle ne peut pas être créée, NotSupportedError est renvoyé.
  • 'preferred': le RP préfère créer des identifiants visibles, mais accepte des identifiants non visibles.
  • 'discouraged': le RP préfère créer des identifiants non visibles, mais accepte des identifiants visibles.

requireResidentKey :

  • Cette propriété est conservée pour la rétrocompatibilité avec le niveau 1 de WebAuthn, une ancienne version de la spécification. Définissez cette valeur sur true si residentKey est 'required', sinon sur false.

allowCredentials

Les RP peuvent utiliser allowCredentials sur navigator.credentials.get() pour contrôler l'expérience d'authentification par clé d'accès. Il existe généralement trois types d'expériences d'authentification par clé d'accès:

Avec les identifiants détectables, les RP peuvent afficher un sélecteur de compte modal permettant à l'utilisateur de sélectionner un compte avec lequel se connecter, suivi de la validation de l'utilisateur. Cette méthode convient au flux d'authentification par clé d'accès déclenché en appuyant sur un bouton dédié à l'authentification par clé d'accès.

Pour obtenir cette expérience utilisateur, omettez ou transmettez un tableau vide au paramètre allowCredentials dans navigator.credentials.get().

async function authenticate() {
  // ...

  const publicKeyCredentialRequestOptions = {
    // Server generated challenge:
    challenge: ****,
    // The same RP ID as used during registration:
    rpId: 'example.com',
    // You can omit `allowCredentials` as well:
    allowCredentials: []
  };

  const credential = await navigator.credentials.get({
    publicKey: publicKeyCredentialRequestOptions,
    signal: abortController.signal
  });

  // This does not run until the user selects a passkey.
  const credential = {};
  credential.id = cred.id;
  credential.rawId = cred.id; // Pass a Base64URL encoded ID string.
  credential.type = cred.type;
  
  // ...
}

Afficher le remplissage automatique d'un formulaire avec une clé d'accès

Le sélecteur de compte modal décrit ci-dessus fonctionne bien si la plupart des utilisateurs utilisent des clés d'accès et les ont disponibles sur l'appareil local. Si l'utilisateur ne dispose pas de clés d'accès locales, la boîte de dialogue modale s'affiche toujours et lui propose de présenter une clé d'accès à partir d'un autre appareil. Lorsque vous passez vos utilisateurs aux clés d'accès, vous pouvez éviter d'utiliser cette interface utilisateur pour les utilisateurs qui n'en ont pas configuré.

La sélection d'une clé d'accès peut être intégrée aux requêtes de saisie automatique des champs d'un formulaire de connexion classique, ainsi qu'aux noms d'utilisateur et mots de passe enregistrés. Ainsi, un utilisateur disposant de clés d'accès peut "remplir" le formulaire de connexion en sélectionnant sa clé d'accès, les utilisateurs disposant de paires nom d'utilisateur/mot de passe enregistrés peuvent les sélectionner, et les utilisateurs qui ne disposent ni de l'un ni de l'autre peuvent toujours saisir leur nom d'utilisateur et leur mot de passe.

Cette expérience utilisateur est idéale lorsque l'RP est en cours de migration et utilise à la fois des mots de passe et des clés d'accès.

Pour obtenir cette expérience utilisateur, en plus de transmettre un tableau vide à la propriété allowCredentials ou d'omettre le paramètre, spécifiez mediation: 'conditional' sur navigator.credentials.get() et annotez un champ de saisie username HTML avec autocomplete="username webauthn" ou un champ de saisie password avec autocomplete="password webauthn".

L'appel de navigator.credentials.get() n'affiche aucune UI, mais si l'utilisateur met en surbrillance le champ de saisie annoté, toutes les clés d'accès disponibles sont incluses dans les options de saisie automatique. Si l'utilisateur en sélectionne une, il passera par la validation standard du déverrouillage de l'appareil. Ce n'est qu'à ce moment-là que la promesse renvoyée par .get() se résout avec un résultat. Si l'utilisateur ne sélectionne pas de clé d'accès, la promesse n'est jamais résolue.

async function authenticate() {
  // ...

  const publicKeyCredentialRequestOptions = {
    // Server generated challenge:
    challenge: ****,
    // The same RP ID as used during registration:
    rpId: 'example.com',
    // You can omit `allowCredentials` as well:
    allowCredentials: []
  };

  const cred = await navigator.credentials.get({
    publicKey: publicKeyCredentialRequestOptions,
    signal: abortController.signal,
    // Specify 'conditional' to activate conditional UI
    mediation: 'conditional'
  });

  // This does not run until the user selects a passkey.
  const credential = {};
  credential.id = cred.id;
  credential.rawId = cred.id; // Pass a Base64URL encoded ID string.
  credential.type = cred.type;
  
  // ...
}
<input type="text" name="username" autocomplete="username webauthn" ...>

Pour découvrir comment créer cette expérience utilisateur, consultez Se connecter avec une clé d'accès via le remplissage automatique des formulaires, ainsi que l'atelier de programmation Implémenter des clés d'accès avec le remplissage automatique des formulaires dans une application Web.

Réauthentification

Dans certains cas, par exemple lorsque des clés d'accès sont utilisées pour la réauthentification, l'identifiant de l'utilisateur est déjà connu. Dans ce cas, nous souhaitons utiliser une clé d'accès sans que le navigateur ou l'OS n'affichent un sélecteur de compte. Pour ce faire, transmettez une liste d'ID d'identifiants dans le paramètre allowCredentials.

Dans ce cas, si l'un des identifiants nommés est disponible localement, l'utilisateur est immédiatement invité à déverrouiller l'appareil. Dans le cas contraire, l'utilisateur est invité à présenter un autre appareil (un téléphone ou une clé de sécurité) disposant d'identifiants valides.

Pour obtenir cette expérience utilisateur, fournissez une liste d'ID d'identifiants pour l'utilisateur qui se connecte. Le RP doit pouvoir les interroger, car l'utilisateur est déjà connu. Fournissez des ID d'identifiants en tant qu'objets PublicKeyCredentialDescriptor dans la propriété allowCredentials de navigator.credentials.get().

async function authenticate() {
  // ...

  const publicKeyCredentialRequestOptions = {
    // Server generated challenge:
    challenge: ****,
    // The same RP ID as used during registration:
    rpId: 'example.com',
    // Provide a list of PublicKeyCredentialDescriptors:
    allowCredentials: [{
      id: ****,
      type: 'public-key',
      transports: [
        'internal',
        'hybrid'
      ]
    }, {
      id: ****,
      type: 'public-key',
      transports: [
        'internal',
        'hybrid'
      ]
    }, ...]
  };

  const credential = await navigator.credentials.get({
    publicKey: publicKeyCredentialRequestOptions,
    signal: abortController.signal
  });

  // This does not run until the user selects a passkey.
  const credential = {};
  credential.id = cred.id;
  credential.rawId = cred.id; // Pass a Base64URL encoded ID string.
  credential.type = cred.type;
  
  // ...
}

Un objet PublicKeyCredentialDescriptor se compose des éléments suivants:

  • id: ID des identifiants de clé publique que le RP a obtenus lors de l'enregistrement de la clé d'accès.
  • type: ce champ est généralement 'public-key'.
  • transports: indice des transports compatibles avec l'appareil qui détient ces identifiants, utilisé par les navigateurs pour optimiser l'UI qui demande à l'utilisateur de présenter un appareil externe. Si elle est fournie, cette liste doit contenir le résultat de l'appel de getTransports() lors de l'enregistrement de chaque identifiant.

Résumé

Les identifiants détectables rendent l'expérience de connexion avec une clé d'accès beaucoup plus conviviale, car les utilisateurs peuvent ne pas saisir de nom d'utilisateur. En combinant residentKey, requireResidentKey et allowCredentials, les RP peuvent proposer des expériences de connexion qui:

  • Affichez un sélecteur de compte modal.
  • Affichez un remplissage automatique de formulaire avec une clé d'accès.
  • Réauthentification.

Utilisez les identifiants visibles à bon escient. Vous pouvez ainsi concevoir des expériences de connexion par clé d'accès sophistiquées que les utilisateurs trouveront fluides et avec lesquelles ils seront plus susceptibles d'interagir.