Bu dokümanda, WebAuthn'da userVerification
değerinin ne olduğu ve geçiş anahtarı oluşturma veya kimlik doğrulama sırasında userVerification
belirtildiğinde ortaya çıkan tarayıcı davranışları açıklanmaktadır.
"Kullanıcı doğrulaması" nedir? nasıl kontrol edilir?
Geçiş anahtarları, ortak anahtar kriptografisiyle oluşturulur. Geçiş anahtarı oluşturulduğunda ortak-özel anahtar çifti oluşturulur, özel anahtar geçiş anahtarı sağlayıcısı tarafından saklanır ve ortak anahtar, saklamak için bağlı tarafın (RP) sunucusuna gönderilir. Sunucu, eşlenmiş ortak anahtarı kullanarak aynı geçiş anahtarıyla imzalanmış bir imzayı doğrulayarak bir kullanıcının kimliğini doğrulayabilir. "Kullanıcı mevcut" Ortak anahtar kimlik bilgisi üzerindeki (UP) işareti, kimlik doğrulama sırasında birisinin cihazla etkileşimde bulunduğunu kanıtlar.
Kullanıcı doğrulaması, kimlik doğrulama sırasında yalnızca bir kişinin değil, doğru kişinin bulunduğunu onaylamayı amaçlayan, isteğe bağlı bir güvenlik katmanıdır. Akıllı telefonlarda bunun için genellikle ekran kilidi mekanizması kullanılır. Bu mekanizma biyometri veya PIN ya da şifre olabilir. Kullanıcı doğrulamasının yapılıp yapılmadığı "UV" cinsinden bildirilir. geçiş anahtarı kaydı ve kimlik doğrulaması sırasında kimlik doğrulayıcı verilerinde döndürülen işaret
'nı inceleyin.UP ve UV'nin sunucuda doğrulama yöntemi
Kullanıcı varlığı (UP) ve kullanıcı tarafından doğrulanmış (UV) boole işaretleri, kimlik doğrulayıcı veri alanında sunucuya sinyal gönderilir. Kimlik doğrulama sırasında, depolanan ortak anahtarla imza doğrulanarak kimlik doğrulayıcı veri alanının içeriği doğrulanabilir. İmza geçerli olduğu sürece sunucu, işaretleri orijinal olarak kabul edebilir.
Geçiş anahtarı kaydı ve kimlik doğrulamasında sunucu, UP işaretinin true
olduğunu ve UV işaretinin true
veya false
(ihtiyaca bağlı olarak) olup olmadığını incelemelidir.
userVerification
parametresini belirtme
WebAuthn spesifikasyonuna göre, RP hem kimlik bilgisi oluşturma hem de onaylama sırasında userVerification
parametresiyle kullanıcı doğrulaması isteyebilir. Sırasıyla 'preferred'
, 'required'
veya 'discouraged'
kabul edilir. Bunlar şu anlama gelir:
'preferred'
(varsayılan): Cihazda bir kullanıcı doğrulama yöntemi kullanılması tercih edilir, ancak bu yöntem sunulmuyorsa atlanabilir. Yanıt kimlik bilgisi, kullanıcı doğrulaması yapıldıysatrue
UV işareti değerini, UV yapılmadıysafalse
değerini içerir.'required'
: Cihazda bulunan bir kullanıcı doğrulama yönteminin çağrılması gerekir. Mevcut bir kod yoksa istek yerel olarak başarısız olur. Bu, yanıt kimlik bilgisinin her zaman UV işaretitrue
olarak ayarlanmış şekilde döndürüleceği anlamına gelir.'discouraged'
: Kullanıcı doğrulama yönteminin kullanılması önerilmez. Bununla birlikte, cihaza bağlı olarak yine de kullanıcı doğrulaması yapılabilir ve UV işaretitrue
veyafalse
içerebilir.
Geçiş anahtarı oluşturmak için örnek kod:
const publicKeyCredentialCreationOptions = {
// ...
authenticatorSelection: {
authenticatorAttachment: 'platform',
residentKey: 'required',
requireResidentKey: true,
userVerification: 'preferred'
}
};
const credential = await navigator.credentials.create({
publicKey: publicKeyCredentialCreationOptions
});
Geçiş anahtarı kimlik doğrulaması için örnek kod:
const publicKeyCredentialRequestOptions = {
challenge: /* Omitted challenge data... */,
rpId: 'example.com',
userVerification: 'preferred'
};
const credential = await navigator.credentials.get({
publicKey: publicKeyCredentialRequestOptions
});
userVerification
için hangi seçeneği seçmelisiniz?
Kullanmanız gereken userVerification
değeri başvuru koşullarınıza ve kullanıcı deneyimi ihtiyaçlarınıza bağlıdır.
userVerification='preferred'
ne zaman kullanılır?
Korumadan ziyade kullanıcı deneyimine öncelik veriyorsanız userVerification='preferred'
kullanın.
Kullanıcı doğrulamasının, korumadan çok daha zahmetli olduğu ortamlar vardır. Örneğin, Touch ID'nin kullanılamadığı macOS'te (cihazın desteklenmediği, devre dışı bırakıldığı veya cihaz kapalı modda olduğu için) kullanıcıdan bunun yerine sistem şifresini girmesi istenir. Bu, sorunlara yol açar ve kullanıcı, kimlik doğrulamasından tamamen vazgeçebilir. Zorlukları ortadan kaldırmak sizin için daha önemliyse userVerification='preferred'
özelliğini kullanın.
userVerification='preferred'
için UV işareti, kullanıcı doğrulaması başarıyla tamamlandıysa true
, kullanıcı doğrulaması atlanırsa false
olur. Örneğin, Touch ID'nin kullanılamadığı macOS'te, kullanıcıdan kullanıcı doğrulamasını atlamak için bir düğmeyi tıklaması istenir ve ortak anahtar kimlik bilgisinde bir false
UV işareti bulunur.
UV işareti bu durumda risk analizinizde bir sinyal olabilir. Oturum açma denemesi başka faktörler nedeniyle riskli görünüyorsa ve kullanıcı doğrulaması yapılmamışsa kullanıcıya ek oturum açma sorgulamaları sunmak isteyebilirsiniz.
userVerification='required'
ne zaman kullanılır?
Hem UP hem de UV'nin kesinlikle gerekli olduğunu düşünüyorsanız userVerification='required'
kullanın.
Bu seçeneğin olumsuz bir yanı, kullanıcının oturum açarken daha fazla sürtüşmesidir. Örneğin, Touch ID'nin kullanılamadığı macOS'te kullanıcıdan sistem şifresini girmesi istenir.
userVerification='required'
sayesinde, cihazda kullanıcı doğrulamasının yapılmasını sağlayabilirsiniz. Sunucunun, UV işaretinin true
olduğunu doğruladığından emin olun.
Sonuç
Kullanıcı doğrulamasından yararlanarak geçiş anahtarını kullanan taraflar, cihaz sahibinin oturum açma olasılığını ölçebilir. Kullanıcı doğrulamasını zorunlu kılma veya yedek oturum açma mekanizmasının kullanıcı akışını ne kadar kritik etkilediğine bağlı olarak bunu isteğe bağlı hale getirme tercihi kullanıcılar tarafından yapılır. Sunucunun, geçiş anahtarı kullanıcı kimlik doğrulaması için UP işaretini ve UV işaretini kontrol ettiğinden emin olun.