WebAuthn通过浏览器API实现生物特征认证,支持指纹、面部识别等方式。它基于公钥加密,用户注册时生成密钥对,私钥存于设备,公钥由服务器保存;登录时通过挑战-响应机制验证身份。主流浏览器和操作系统均支持,需在HTTPS环境下运行,适用于高安全场景如网银登录或无密码认证,且保护用户隐私。
目前JavaScript本身并没有原生的“生物特征认证API”,但现代浏览器通过Web Authentication API(简称WebAuthn)支持使用生物特征(如指纹、面部识别、虹膜等)进行身份验证。WebAuthn是W3C标准,允许网站通过公钥加密技术实现安全的身份认证,用户可以使用设备上的生物特征或安全密钥完成登录。
WebAuthn简介
WebAuthn是平台的一部分,由浏览器和操作系统协同工作,允许网站注册和认证用户,而无需传统密码。它支持以下认证方式:
-
• 指纹识别(如Touch ID)
• 面部识别(如Face ID)
• PIN码或设备解锁密码
• 安全密钥(如YubiKey)
这些方式统称为“通行密钥”(Passkeys),可在手机、电脑或硬件密钥上使用,并与生物特征绑定。
基本使用流程
WebAuthn分为两个阶段:注册(Registration)和认证(Authentication)。
立即学习“Java免费学习笔记(深入)”;
1. 用户注册(创建凭证)
当用户首次注册时,网站请求浏览器生成一对密钥:
-
• 公钥发送给服务器保存
• 私钥安全地存储在用户设备中(如TPM、Secure Enclave)
示例代码:
navigator.credentials.create({
publicKey: {
challenge: new Uint8Array([/* 来自服务器的随机值 */]),
rp: { name: "example.com" },
user: {
id: new Uint8Array([1, 2, 3]), // 用户唯一ID
name: "user@example.com",
displayName: "John Doe"
},
pubKeyCredParams: [{ alg: -7, type: "public-key" }],
timeout: 60000,
attestation: "none"
}
}).then(credential => {
// 将凭证发送到服务器保存
});
2. 用户登录(认证)
用户再次登录时,服务器发送挑战(challenge),浏览器提示用户通过生物特征等方式验证身份。
示例代码:
navigator.credentials.get({
publicKey: {
challenge: new Uint8Array([/* 服务器生成的挑战 */]),
timeout: 60000,
allowCredentials: [{
type: "public-key",
id: new Uint8Array([/* 存储的凭证ID */])
}]
}
}).then(assertion => {
// 发送签名结果到服务器验证
});
兼容性与限制
WebAuthn已被主流浏览器支持:
-
• Chrome、Edge、Firefox、Safari均支持
• 移动端Android与iOS(通过系统级集成)也支持Passkeys
但需注意:
-
• 必须在HTTPS环境下运行(本地开发可使用localhost例外)
• 不是所有设备都具备生物识别硬件
• 用户需主动授权使用生物特征
实际应用场景
适合需要高安全性的场景:
-
• 网银或支付系统登录
• 敏感数据访问控制
• 替代传统密码的无密码登录方案
结合后端验证逻辑,WebAuthn可大幅提升账户安全性,防止钓鱼和密码泄露。
基本上就这些。WebAuthn不是直接让JavaScript读取指纹,而是通过标准化接口调用系统级认证功能,既安全又保护隐私。开发者应关注其集成方式,而非试图直接操作生物特征数据。不复杂但容易忽略的是挑战(challenge)的生成与验证,必须由服务器安全处理。
