问题描述
编辑:-
看是我还是 W3C spec 说这应该已经发生了:-
1.2.2.身份验证
在笔记本电脑或台式机上:
用户通过蓝牙将手机与笔记本电脑或台式机配对。
用户从浏览器收到一条消息,“请在您的手机上完成此操作。”
接下来,在他们的手机上:
用户看到一个离散的提示或通知,“登录 example.com。”
用户会看到他们的 example.com 身份列表,例如“以 Mohamed 身份登录/以张三身份登录”。
用户选择一个身份,系统会提示用户输入授权手势(PIN、生物识别等)并提供此信息。
现在,回到笔记本电脑上:
================
我的 WebAuthn 代码愉快地与 Windows Hello 交互以通过 PIN 进行用户验证。我的三星 Android 手机愉快地与 https://webauthn.appspot.com 演示互动并接受指纹验证。
但我似乎无法像连接到计算机上的 YubiKey 那样将手机用作安全密钥?
我可以通过蓝牙将其与 PC 配对或使用 USB 电缆将其连接起来,但 Windows 不会将其识别为安全密钥。
这是可能的,还是功能受限? 如果我们可以将手机用作安全密钥,我们就不需要特殊的加密狗来进行平台不可知的身份验证。
解决方法
为了使其正常工作,电话设备制造商必须始终将自己显示为 FIDO2 身份验证器,或者具有某种允许其更改模式的开关,就像您如何配置 USB 连接一样用于充电或数据传输。我看不出有什么技术原因无法做到这一点,事实上它在各种讨论中多次出现,但据我所知,这不是 Android 功能,至少目前还不是。
,为此,智能手机操作系统或第 3 方应用程序都需要实现 CTAP 协议来接收和处理手机上的身份验证操作。目前,Android 确实如此 - 但不能用作跨平台身份验证器以不只限于一台 PC。 对于第 3 方应用,有一些经过认证的解决方案在 FIDO Alliance website 中列为 certified authenticators。