本文探讨WebAuthn timeout属性在移动设备上的行为差异。尽管在桌面端有效,但在Android 14之前的移动设备上,由于Google Play Services的实现限制,WebAuthn操作的超时设置可能无效。文章将深入分析此现象的原因,并提供设置WebAuthn超时参数的最佳实践与注意事项,以确保跨平台的用户体验和安全性。
WebAuthn timeout属性在移动设备上的行为解析
webauthn(web authentication api)为web应用程序提供了一种安全、用户友好的身份验证机制,它允许用户通过生物识别(如指纹、面部识别)或安全密钥进行登录。在webauthn的凭证创建或获取过程中,publickeycredentialcreationoptions 或 publickeycredentialrequestoptions 对象包含一个 timeout 属性,用于指定操作的超时时间(毫秒)。
观察到的问题
开发者在使用 navigator.credentials.create() 或 navigator.credentials.get() 方法时,通常会配置一个 publicKey 对象,其中包含 timeout 字段,如下所示:
const publicKey = { "challenge": "testchanllengevalue", "rp": { "name": "test.com" }, "user": { "id": "12345-543212-12345-54321", "name": "NAME", "displayName": "NAME" }, "attestation": "direct", "timeout": 20000, // 期望的超时时间为20秒 "authenticatorSelection": { "authenticatorAttachment": "platform", "requireResidentKey": false, "userVerification": "required" }, "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ]};navigator.credentials.create({ 'publicKey': publicKey }) .then(credential => { // 处理凭证 }) .catch(error => { // 处理错误,包括超时 });
在桌面浏览器上,这个 timeout 属性通常能按预期工作,即如果用户未能在指定时间内完成身份验证,请求会超时并抛出错误。然而,在某些移动设备上,特别是Android 14之前的版本,用户可能会发现指纹或面部识别请求似乎永远不会超时,即使设置了 timeout 属性。
根本原因:平台服务限制
这种行为差异的根本原因在于底层平台服务的实现。对于Android 14之前的设备,WebAuthn操作通常由Google Play Services处理。然而,Google Play Services在此版本范围内的实现并不支持对WebAuthn请求的超时处理。这意味着,即使RP(依赖方)在 publicKey 对象中明确设置了 timeout 值,Play Services也不会强制执行这个时间限制,导致请求可能会无限期地等待用户交互。
注意事项与最佳实践
鉴于上述平台限制,开发者在设计和实现WebAuthn流程时需要考虑以下几点:
理解 timeout 属性的实际效果:
在支持该属性的平台上(如桌面浏览器或较新版本的Android),timeout 能够有效限制用户等待时间,提升用户体验。在不支持该属性的平台上(如Android 14之前的设备),RP不应完全依赖WebAuthn API的内置超时机制来中断操作。
WebAuthn规范对 timeout 值的建议:WebAuthn规范(W3C Web Authentication API)对 timeout 值的设置有明确的建议。规范目前建议,对于凭证创建或获取操作,timeout 的最小值应为五分钟(300000毫秒)。示例代码中使用的 20000 毫秒(20秒)通常仅用于演示目的,在实际生产环境中可能过短。
为什么推荐较长的超时时间?
用户交互时间: 用户可能需要时间找到并激活他们的身份验证器(如指纹传感器、面部识别、外部安全密钥)。多种认证因素: 在某些情况下,可能需要用户完成多个认证步骤。网络延迟: 认证器与RP之间的通信可能存在延迟。用户体验: 过短的超时时间可能导致用户在完成操作前就被中断,造成挫败感。
RP端的容错与用户体验优化:即使WebAuthn API的内置 timeout 在某些移动设备上无效,RP仍然应该有自己的策略来处理长时间未响应的请求。
前端UI提示: 在请求发出后,向用户显示一个加载指示器或友好的提示信息,告知他们正在等待身份验证。客户端JS计时器: 开发者可以在调用 navigator.credentials.create() 或 get() 之后,在客户端JavaScript中启动一个独立的计时器。如果WebAuthn操作在设定的时间内没有完成(无论是成功还是失败),客户端计时器可以触发一个UI更新,例如显示一个“操作超时,请重试”的消息,或提供备用登录方式。这虽然不能强制中断底层的WebAuthn请求,但可以改善用户界面的响应性。
总结
WebAuthn的 timeout 属性是控制身份验证流程时间的关键参数,但在Android 14之前的移动设备上,由于Google Play Services的实现限制,它可能无法按预期工作。开发者应了解这一平台差异,并遵循WebAuthn规范关于 timeout 值设置的建议(例如,至少五分钟)。同时,结合RP端的容错机制和客户端计时器,可以有效提升跨平台的用户体验,即使在某些不支持内置超时的设备上也能提供合理的反馈。随着Android等移动操作系统的不断演进,未来版本的WebAuthn实现有望提供更一致的超时行为。
以上就是WebAuthn请求超时在移动设备上的行为与平台限制解析的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1519169.html
微信扫一扫 
支付宝扫一扫 
