Ringkasan
WebAuthn membantu meningkatkan keamanan dengan membawa
autentikasi berbasis kredensial kunci publik ke Web, dan akan segera
didukung di Chrome, Firefox, dan Edge (dengan spesifikasi
yang diperbarui).
Perubahan ini menambahkan jenis objek Credential
baru, yang, bagaimanapun, dapat merusak situs
yang menggunakan Credential Management
API tanpa mendeteksi fitur
jenis kredensial tertentu yang mereka gunakan.
Jika saat ini Anda melakukannya untuk deteksi fitur
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// use CM API
}
Sebagai gantinya, lakukan hal berikut
if (window.PasswordCredential || window.FederatedCredential) {
// Call navigator.credentials.get() to retrieve stored
// PasswordCredentials or FederatedCredentials.
}
if (window.PasswordCredential) {
// Get/Store PasswordCredential
}
if (window.FederatedCredential) {
// Get/Store FederatedCredential
}
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Call navigator.credentials.preventSilentAccess()
}
Lihat perubahan yang dilakukan pada kode contoh sebagai contoh.
Baca terus untuk mempelajari lebih lanjut.
Apa yang dimaksud dengan Credential Management API
Credential Management API (CM API) memberi situs akses terprogram ke penyimpanan kredensial agen pengguna untuk menyimpan/mengambil kredensial pengguna untuk origin panggilan.
API dasar adalah:
navigator.credentials.get()
navigator.credentials.store()
navigator.credentials.create()
navigator.credentials.preventSilentAccess()
Spesifikasi CM API asli menentukan 2 jenis kredensial:
PasswordCredential
FederatedCredential
PasswordCredential
adalah kredensial yang berisi ID dan sandi pengguna.
FederatedCredential
adalah kredensial yang berisi ID pengguna dan string
yang mewakili penyedia identitas.
Dengan 2 kredensial ini, situs dapat:
- Izinkan pengguna login dengan kredensial berbasis sandi atau penyedia identitas gabungan yang disimpan sebelumnya begitu mereka membuka halaman (login otomatis),
- Menyimpan kredensial gabungan atau berbasis sandi yang digunakan pengguna untuk login,
- Selalu perbarui kredensial login pengguna (misalnya, setelah sandi diubah)
Apa yang dimaksud dengan WebAuthn
WebAuthn (Autentikasi Web) menambahkan kredensial kunci publik ke CM API. Misalnya, FIDO memberikan cara standar kepada situs untuk menerapkan autentikasi faktor kedua menggunakan perangkat pengautentikasi yang mematuhi FIDO 2.0.
Pada tingkat teknis, WebAuthn memperluas CM API dengan antarmuka
PublicKeyCredential
.
Apa masalahnya?
Sebelumnya, kami telah memandu developer untuk mendeteksi fitur CM API dengan kode berikut:
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Use CM API
}
But as you can see from the descriptions above, the `navigator.credentials` is
now expanded to support public-key credentials in addition to password
credentials and federated credentials.
The problem is that user agents don't necessarily support all kinds of
credentials. If you continue feature detect using `navigator.credentials`, your
website may break when you are using a certain credential type not supported by
the browser.
**Supported credential types by browsers**
<table class="properties with-heading-tint"><tbody><tr>
<th></th>
<th>PasswordCredential / FederatedCredential</th>
<th>PublicKeyCredential</th>
</tr><tr><th>Chrome
</th><td>Available
</td><td>In development
</td></tr><tr><th>Firefox
</th><td>N/A
</td><td>Aiming to ship on 60
</td></tr><tr><th>Edge
</th><td>N/A
</td><td>Implemented with <a href="https://blogs.windows.com/msedgedev/2016/04/12/a-world-without-passwords-windows-hello-in-microsoft-edge/">older API</a>. New API (navigator.credentials) coming soon.
</td></tr></tbody></table>
## The solution
You can avoid this by modifying feature detection code as follows to explicitly
test for the credential type that you intend to use.
```js
if (window.PasswordCredential || window.FederatedCredential) {
// Call navigator.credentials.get() to retrieve stored
// PasswordCredentials or FederatedCredentials.
}
if (window.PasswordCredential) {
// Get/Store PasswordCredential
}
if (window.FederatedCredential) {
// Get/Store FederatedCredential
}
if (navigator.credentials && navigator.credentials.preventSilentAccess) {
// Call navigator.credentials.preventSilentAccess()
}
Lihat perubahan aktual yang dilakukan pada kode contoh sebagai contoh.
Sebagai referensi, berikut cara mendeteksi PublicKeyCredential
yang ditambahkan di WebAuthn:
if (window.PublicKeyCredential) {
// use CM API with PublicKeyCredential added in the WebAuthn spec
}
Linimasa
Implementasi WebAuthn yang paling awal tersedia adalah Firefox dan direncanakan akan stabil sekitar awal Mei 2018.
Terakhir
Jika ada pertanyaan, kirimkan ke @agektmr atau agektmr@chromium.org.