投稿获客
广告
广告 广告 广告
广告 广告 广告 广告
广告 █ 推荐【菠萝云】香港16G内存99元 【CDNCloud】极速、安全可靠的加速体验 广告位联系QQ:253000106 【UStat】免费网站统计平台 SSL证书低至2折 单域名36元起 免费测试!海总一手APK免杀处理 广告位联系QQ:253000106 CDN 服务器 反炸 劫持 域名屏蔽 【UStat】专业网站统计平台 域名注册:海量域名快速注册 安卓免杀 谷歌报毒 封装 苹果签名 广告位联系QQ:253000106 【域名被劫持污染如何处理】 安卓免杀★超级签★封装★谷歌屏蔽 广告位联系QQ:253000106

*本站广告为第三方投放,如发生纠纷,请向本站索取第三方联系方式沟通

  1. 创想鸟首页
  2. 好文分享

WebAuthn 在移动设备上请求超时失效问题解析与解决方案

程序猿 好文分享 阅读 0

webauthn 在移动设备上请求超时失效问题解析与解决方案

WebAuthn 是一种现代化的身份验证标准,它允许用户使用生物识别技术(如指纹、面部识别)或安全密钥进行身份验证。在使用 WebAuthn 时,开发者可以通过设置超时参数来限制身份验证请求的持续时间。然而,在某些情况下,尤其是在移动设备上,开发者可能会发现设置的超时参数并没有生效。

WebAuthn 超时参数的设置

WebAuthn 的 navigator.credentials.create() 方法接受一个包含 publicKey 属性的对象作为参数。publicKey 对象中可以包含一个 timeout 属性,用于指定身份验证请求的超时时间,单位为毫秒。

例如:

const publicKey = {    "challenge": "testchanllengevalue",    "rp": { "name": "test.com" },    "user": {      "id": "12345-543212-12345-12345",      "name": "NAME",      "displayName": "NAME"    },    "attestation": "direct",    "timeout": 20000, // 20 秒超时    "authenticatorSelection": {      "authenticatorAttachment": "platform",      "requireResidentKey": false,      "userVerification": "required"    },    "pubKeyCredParams": [      { "type": "public-key", "alg": -7 },      { "type": "public-key", "alg": -257 }    ]}navigator.credentials.create({ 'publicKey': publicKey })    .then(credential => {        // 身份验证成功    })    .catch(error => {        // 身份验证失败        console.error("WebAuthn 认证失败:", error);    });

上述代码片段中,timeout 被设置为 20000 毫秒,即 20 秒。理论上,如果在 20 秒内用户没有完成身份验证,请求应该超时并返回错误。

移动设备上的超时问题

然而,在移动设备上,尤其是 Android 设备上,情况可能会有所不同。在 Android 14 之前的版本中,WebAuthn 操作通常由 Play Services 处理。Play Services 在早期版本中不支持 WebAuthn 请求的超时功能。这意味着,即使设置了 timeout 参数,它也可能不会生效。

具体原因:

Android 版本限制: Android 14 之前的版本,依赖于 Google Play Services 来处理 WebAuthn 相关操作。Play Services 支持: 早期版本的 Google Play Services 缺乏对 WebAuthn 超时功能的支持。

解决方案与建议

考虑 Android 版本: 考虑到 Android 版本的差异,开发者需要意识到在 Android 14 以下的版本中,timeout 参数可能不会生效。服务端超时机制: 建议在服务端实现额外的超时机制。即使客户端的超时设置失效,服务端仍然可以在一定时间内拒绝未完成的身份验证请求。超时时间设置: WebAuthn 规范建议超时时间应反映 RP (Relying Party) 愿意信任其他认证因素的时间,或者建立挑战有效性的时间。规范建议最小超时时间为五分钟。在实际应用中,开发者应根据具体的安全需求和用户体验来调整超时时间。错误处理: 完善错误处理机制,捕获可能出现的超时错误,并向用户提供友好的提示。

注意事项

超时时间单位: timeout 属性的单位是毫秒。规范建议: 遵循 WebAuthn 规范,合理设置超时时间。兼容性测试: 在不同的设备和浏览器上进行充分的兼容性测试,确保 WebAuthn 功能的稳定性和可靠性。

总结

虽然 WebAuthn 提供了 timeout 参数来控制身份验证请求的持续时间,但在移动设备上,由于 Android 版本的限制和 Play Services 的支持情况,超时设置可能不会生效。为了解决这个问题,开发者需要在服务端实现额外的超时机制,并合理设置超时时间,以确保安全性和用户体验。同时,进行充分的兼容性测试也是至关重要的。

以上就是WebAuthn 在移动设备上请求超时失效问题解析与解决方案的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1519165.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月20日 12:11:59
下一篇 2025年12月20日 12:12:11

相关推荐

发表回复

登录后才能评论
关注微信