2016年5月31日,W3C的Web认证工作组(Web Authentication Working Group)发布Web认证:访问一定范围内凭证的Web API(Web Authentication: A Web API for accessing scoped credentials)的首份公开工作草案。该规范定义了一个API,允许Web页面通过浏览器脚本访问WebAuthn兼容的强加密凭证(Strong Authentication Credentials)。从概念上讲,在一个认证器(authenticator)上可以保存一个或者多个信任证(凭证),每一个信任证的使用范围可以限定在某一个信任方(relying party)。认证器应确保不会在用户不知情的情况下执行操作。为了保护用户隐私,用户代理(如 浏览器等)可用来协调这些对不同信任凭证的访问和使用操作。认证器可以通过认证(attestation)功能对属性的加密向信任方提供信息。此外,该规范还给出了与WebAuthn兼容的认证器功能模型,包括其签字及认证功能细则。
更多内容,请参阅英文原文。
评论已关闭