問題タブ [fido]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
identityserver4 - Identity Server 4 と WebAuthN - GrantType (FIDO 2.0) を使用
Identity Server 4 を使用して WebAuthN ( https://w3c.github.io/webauthn/ ) でユーザーを認証しています。
API クライアントにヒットする複数のクライアントがあります。私の API クライアントは、使用する認証プロバイダーの決定、データの受け渡し (サーバーからサーバーへ、サーバーから外部 API へ)、および認証プロセスの調整を担当します。
私たちが所有している認証プロバイダーの 1 つは ID サーバー 4 であり、ここに WebAuthN を実装しています。
Identity Server 4 でこれを実装するための推奨される方法がどれかわかりません。選択肢は 2 つまでです。
- ID サーバーに API エンドポイントを作成して、ユーザーの資格情報を認証する
- 拡張付与タイプを作成し、新しい付与タイプを使用して TokenEndpoint API を呼び出します (私の拡張付与タイプは、組み込みのハイブリッド付与タイプとそれに続く WebAuthN コードの混合になります)。
セキュリティの観点から (穴を開けるのではなく) 両方の方法が有効であり、ID4 に適合しますか、それとも別の方法がありますか?
security - WebAuthN を使用すると、特定の種類の認証方法を拒否できます FIDO2)
WebAuthN ( https://w3c.github.io/webauthn/ ) を使用して認証する場合、特定の認証オプションを非表示にすることはできますか?
たとえば、webauthn.io でテストすると、私の Android デバイスには、ハードウェア キー、Bluetooth、指紋などの利用可能な認証タイプが表示されます。ハードウェア キーと Bluetooth を受け入れないように設定することはできますか。
また、指紋を選択して使用してログインするときに、間違った指を使用して強制的に失敗させると、デフォルトでロック解除パターンが要求され、ロック解除パターンを入力すると成功します。私の意見では、ロック解除パターンは安全ではありません。画面が汚れていると画面にパターンが残り、汚れの跡が残るからです。また、親は子供にピンを渡します。この動作を止めて、代わりに指紋が失敗した場合はエラーになりますか?