WebAuthn 如何使多个不同域名的 rp 共用一个 credential?

WebAuthn 设计目的之一就是防止相似域名钓鱼，这个应该很难做到吧

不支持 必须在绑定的域名下运作

不太行吧……
要不考虑三个网站共用一个登录页面？

sso 。。。

@Explr
@imnpc
gpt 给的方案是加上 DIDs ，实际上就是加把备用钥匙，我认为不安全，相当于把 WebAuthn 原本生物识别安全级别降级了


@ghjh
不太行吧，原本目的就是防止单点故障后用户无法登录，这页面故障了全都无法登录。

绑定到一个根域名

@zhouhu 请审题，a.com b.com c.com

这个可以归纳为 SSO ，如果软件层面目前解决不了 那就从工程层面去解决。

@lisxour
@relsoul
请大佬给个思路，如何从工程层面解决？

@raw0xff 单点登录，按照目前浏览器的限制 这个问题技术层面是解决不了的，那就搞一个域名专门用来登录。用户登录系统本来就应该保持稳定性。如果要考虑这种分布式验证的话 不如考虑用 2FA ，另一个... webauthn 这玩意挺难用的，在跨设备的时候很蛋疼，比如 web 端注册了后，手机也要登录这个系统的时候 安卓，ios ，pc 同步 key 这步就麻烦得要死。

这个可以通过 websocket 、搭配浏览器指纹+ip 可以做到

@skallz 大佬详细讲讲？

WebAuthn L3 好像支持跨域了

@raw0xff 通过浏览器指纹+ip ，生成唯一设备标识，通过 websocket 让同一个设备下的多个页面共享数据

@skallz 大概明白你说的，但是跟我的提问关联在哪里？
用户在 a.com 通过 webauthn 生成 credential ，a.com 可以将 cred 共享给 b.com c.com ，但浏览器遵循规范不允许 rpid 以外的域访问。

@raw0xff emmm ，没用过 webauthn ，不清楚里面校验的具体规则，如果只是无状态 token 的话，倒是可以在其中一个页面获取到，然后服务推送给同设备下的其他页面。。。