WebAuthn 是一种现代化的身份验证标准,它允许用户使用生物识别技术(如指纹、面部识别)或安全密钥进行身份验证。在使用 WebAuthn 时,开发者可以通过设置超时参数来限制身份验证请求的持续时间。然而,在某些情况下,尤其是在移动设备上,开发者可能会发现设置的超时参数并没有生效。
WebAuthn 超时参数的设置
WebAuthn 的 navigator.credentials.create() 方法接受一个包含 publicKey 属性的对象作为参数。publicKey 对象中可以包含一个 timeout 属性,用于指定身份验证请求的超时时间,单位为毫秒。
例如:
const publicKey = {
"challenge": "testchanllengevalue",
"rp": { "name": "test.com" },
"user": {
"id": "12345-543212-12345-12345",
"name": "NAME",
"displayName": "NAME"
},
"attestation": "direct",
"timeout": 20000, // 20 秒超时
"authenticatorSelection": {
"authenticatorAttachment": "platform",
"requireResidentKey": false,
"userVerification": "required"
},
"pubKeyCredParams": [
{ "type": "public-key", "alg": -7 },
{ "type": "public-key", "alg": -257 }
]
}
navigator.credentials.create({ 'publicKey': publicKey })
.then(credential => {
// 身份验证成功
})
.catch(error => {
// 身份验证失败
console.error("WebAuthn 认证失败:", error);
});上述代码片段中,timeout 被设置为 20000 毫秒,即 20 秒。理论上,如果在 20 秒内用户没有完成身份验证,请求应该超时并返回错误。
移动设备上的超时问题
然而,在移动设备上,尤其是 Android 设备上,情况可能会有所不同。在 Android 14 之前的版本中,WebAuthn 操作通常由 Play Services 处理。Play Services 在早期版本中不支持 WebAuthn 请求的超时功能。这意味着,即使设置了 timeout 参数,它也可能不会生效。
具体原因:
- Android 版本限制: Android 14 之前的版本,依赖于 Google Play Services 来处理 WebAuthn 相关操作。
- Play Services 支持: 早期版本的 Google Play Services 缺乏对 WebAuthn 超时功能的支持。
解决方案与建议
- 考虑 Android 版本: 考虑到 Android 版本的差异,开发者需要意识到在 Android 14 以下的版本中,timeout 参数可能不会生效。
- 服务端超时机制: 建议在服务端实现额外的超时机制。即使客户端的超时设置失效,服务端仍然可以在一定时间内拒绝未完成的身份验证请求。
- 超时时间设置: WebAuthn 规范建议超时时间应反映 RP (Relying Party) 愿意信任其他认证因素的时间,或者建立挑战有效性的时间。规范建议最小超时时间为五分钟。在实际应用中,开发者应根据具体的安全需求和用户体验来调整超时时间。
- 错误处理: 完善错误处理机制,捕获可能出现的超时错误,并向用户提供友好的提示。
注意事项
- 超时时间单位: timeout 属性的单位是毫秒。
- 规范建议: 遵循 WebAuthn 规范,合理设置超时时间。
- 兼容性测试: 在不同的设备和浏览器上进行充分的兼容性测试,确保 WebAuthn 功能的稳定性和可靠性。
总结
虽然 WebAuthn 提供了 timeout 参数来控制身份验证请求的持续时间,但在移动设备上,由于 Android 版本的限制和 Play Services 的支持情况,超时设置可能不会生效。为了解决这个问题,开发者需要在服务端实现额外的超时机制,并合理设置超时时间,以确保安全性和用户体验。同时,进行充分的兼容性测试也是至关重要的。
