WebAuthn timeout属性在移动设备上的行为解析
webauthn(web authentication api)为web应用程序提供了一种安全、用户友好的身份验证机制,它允许用户通过生物识别(如指纹、面部识别)或安全密钥进行登录。在webauthn的凭证创建或获取过程中,publickeycredentialcreationoptions 或 publickeycredentialrequestoptions 对象包含一个 timeout 属性,用于指定操作的超时时间(毫秒)。
观察到的问题
开发者在使用 navigator.credentials.create() 或 navigator.credentials.get() 方法时,通常会配置一个 publicKey 对象,其中包含 timeout 字段,如下所示:
const publicKey = {
"challenge": "testchanllengevalue",
"rp": { "name": "test.com" },
"user": {
"id": "12345-543212-12345-54321",
"name": "NAME",
"displayName": "NAME"
},
"attestation": "direct",
"timeout": 20000, // 期望的超时时间为20秒
"authenticatorSelection": {
"authenticatorAttachment": "platform",
"requireResidentKey": false,
"userVerification": "required"
},
"pubKeyCredParams": [
{ "type": "public-key", "alg": -7 },
{ "type": "public-key", "alg": -257 }
]
};
navigator.credentials.create({ 'publicKey': publicKey })
.then(credential => {
// 处理凭证
})
.catch(error => {
// 处理错误,包括超时
});在桌面浏览器上,这个 timeout 属性通常能按预期工作,即如果用户未能在指定时间内完成身份验证,请求会超时并抛出错误。然而,在某些移动设备上,特别是Android 14之前的版本,用户可能会发现指纹或面部识别请求似乎永远不会超时,即使设置了 timeout 属性。
根本原因:平台服务限制
这种行为差异的根本原因在于底层平台服务的实现。对于Android 14之前的设备,WebAuthn操作通常由Google Play Services处理。然而,Google Play Services在此版本范围内的实现并不支持对WebAuthn请求的超时处理。这意味着,即使RP(依赖方)在 publicKey 对象中明确设置了 timeout 值,Play Services也不会强制执行这个时间限制,导致请求可能会无限期地等待用户交互。
注意事项与最佳实践
鉴于上述平台限制,开发者在设计和实现WebAuthn流程时需要考虑以下几点:
-
理解 timeout 属性的实际效果:
- 在支持该属性的平台上(如桌面浏览器或较新版本的Android),timeout 能够有效限制用户等待时间,提升用户体验。
- 在不支持该属性的平台上(如Android 14之前的设备),RP不应完全依赖WebAuthn API的内置超时机制来中断操作。
-
WebAuthn规范对 timeout 值的建议: WebAuthn规范(W3C Web Authentication API)对 timeout 值的设置有明确的建议。规范目前建议,对于凭证创建或获取操作,timeout 的最小值应为五分钟(300000毫秒)。示例代码中使用的 20000 毫秒(20秒)通常仅用于演示目的,在实际生产环境中可能过短。
为什么推荐较长的超时时间?
- 用户交互时间: 用户可能需要时间找到并激活他们的身份验证器(如指纹传感器、面部识别、外部安全密钥)。
- 多种认证因素: 在某些情况下,可能需要用户完成多个认证步骤。
- 网络延迟: 认证器与RP之间的通信可能存在延迟。
- 用户体验: 过短的超时时间可能导致用户在完成操作前就被中断,造成挫败感。
-
RP端的容错与用户体验优化: 即使WebAuthn API的内置 timeout 在某些移动设备上无效,RP仍然应该有自己的策略来处理长时间未响应的请求。
- 前端UI提示: 在请求发出后,向用户显示一个加载指示器或友好的提示信息,告知他们正在等待身份验证。
- 客户端JS计时器: 开发者可以在调用 navigator.credentials.create() 或 get() 之后,在客户端JavaScript中启动一个独立的计时器。如果WebAuthn操作在设定的时间内没有完成(无论是成功还是失败),客户端计时器可以触发一个UI更新,例如显示一个“操作超时,请重试”的消息,或提供备用登录方式。这虽然不能强制中断底层的WebAuthn请求,但可以改善用户界面的响应性。
总结
WebAuthn的 timeout 属性是控制身份验证流程时间的关键参数,但在Android 14之前的移动设备上,由于Google Play Services的实现限制,它可能无法按预期工作。开发者应了解这一平台差异,并遵循WebAuthn规范关于 timeout 值设置的建议(例如,至少五分钟)。同时,结合RP端的容错机制和客户端计时器,可以有效提升跨平台的用户体验,即使在某些不支持内置超时的设备上也能提供合理的反馈。随着Android等移动操作系统的不断演进,未来版本的WebAuthn实现有望提供更一致的超时行为。
