WebAuthn 如何使多个不同域名的 rp 共用一个 credential?

93 天前
 raw0xff

想实现用户在( a.com b.com c.com )任意节点注册后,(当此节点失效时)可以在其他节点验证身份。 使用 webauthn 生成凭证 navigator.credentials.create 后同步在多个 rp 上是没问题,问题是浏览器认域名,w3c 规范中 rp.id 只能有一个。 求大佬给点思路?

1025 次点击
所在节点    程序员
15 条回复
Explr
93 天前
WebAuthn 设计目的之一就是防止相似域名钓鱼,这个应该很难做到吧
imnpc
93 天前
不支持 必须在绑定的域名下运作
ghjh
93 天前
不太行吧……
要不考虑三个网站共用一个登录页面?
lisxour
93 天前
sso 。。。
raw0xff
93 天前
@Explr
@imnpc
gpt 给的方案是加上 DIDs ,实际上就是加把备用钥匙,我认为不安全,相当于把 WebAuthn 原本生物识别安全级别降级了


@ghjh
不太行吧,原本目的就是防止单点故障后用户无法登录,这页面故障了全都无法登录。
zhouhu
93 天前
绑定到一个根域名
raw0xff
93 天前
@zhouhu 请审题,a.com b.com c.com
relsoul
93 天前
这个可以归纳为 SSO ,如果软件层面目前解决不了 那就从工程层面去解决。
raw0xff
92 天前
@lisxour
@relsoul
请大佬给个思路,如何从工程层面解决?
relsoul
92 天前
@raw0xff 单点登录,按照目前浏览器的限制 这个问题技术层面是解决不了的,那就搞一个域名专门用来登录。用户登录系统本来就应该保持稳定性。如果要考虑这种分布式验证的话 不如考虑用 2FA ,另一个... webauthn 这玩意挺难用的,在跨设备的时候很蛋疼,比如 web 端注册了后,手机也要登录这个系统的时候 安卓,ios ,pc 同步 key 这步就麻烦得要死。
skallz
92 天前
这个可以通过 websocket 、搭配浏览器指纹+ip 可以做到
raw0xff
92 天前
@skallz 大佬详细讲讲?

WebAuthn L3 好像支持跨域了
skallz
92 天前
@raw0xff 通过浏览器指纹+ip ,生成唯一设备标识,通过 websocket 让同一个设备下的多个页面共享数据
raw0xff
92 天前
@skallz 大概明白你说的,但是跟我的提问关联在哪里?
用户在 a.com 通过 webauthn 生成 credential ,a.com 可以将 cred 共享给 b.com c.com ,但浏览器遵循规范不允许 rpid 以外的域访问。
skallz
92 天前
@raw0xff emmm ,没用过 webauthn ,不清楚里面校验的具体规则,如果只是无状态 token 的话,倒是可以在其中一个页面获取到,然后服务推送给同设备下的其他页面。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1066853

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX