Cette page a été traduite par l'API Cloud Translation.

Présentation de l'implémentation des clés d'accès côté serveur

Présentation

Lors de l'utilisation de clés d'accès synchronisées, les utilisateurs s'authentifient auprès d'un fournisseur de clés d'accès.

Pour créer et vous authentifier avec des clés d'accès, utilisez l'API WebAuthn pour le Web ou l'API Gestionnaire d'identifiants pour les applications Android. Ces API gèrent la communication entre le client et le fournisseur de clés d'accès.

Bien que ces API soient appelées à partir d'un client tel qu'une page Web ou une application Android, vous devez implémenter le reste des fonctionnalités sur le serveur pour terminer vos cas d'utilisation de l'authentification.

L'implémentation d'une clé d'accès se compose de deux fonctionnalités:

Enregistrement d'une clé d'accès : Utilisez l'API WebAuthn ou l'API Gestionnaire d'identifiants pour permettre à l'utilisateur de créer une clé d'accès. Stockez la clé publique associée sur le serveur.
Authentification avec une clé d'accès Demandez à recevoir une question d'authentification du serveur et utilisez l'API WebAuthn ou l'API Gestionnaire d'identifiants pour permettre à l'utilisateur de signer cette question d'authentification avec sa clé d'accès. Vérifiez la signature sur le serveur. Si la signature est valide, authentifiez l'utilisateur.

Bibliothèques côté serveur

Bien qu'il soit possible d'implémenter la fonctionnalité des clés d'accès côté serveur à partir de zéro, nous vous recommandons plutôt de vous appuyer sur une bibliothèque.

Un serveur qui permet la création et l'authentification de clés d'accès est appelé serveur FIDO2 (ou serveur FIDO). Par extension, nous désignons ici les bibliothèques côté serveur qui implémentent la prise en charge des clés d'accès en tant que bibliothèques côté serveur FIDO.

Pourquoi utiliser une bibliothèque ?

L'utilisation d'une bibliothèque FIDO côté serveur présente plusieurs avantages:

Temps et expérience du développeur. La spécification WebAuthn est complexe. Les bibliothèques côté serveur FIDO peuvent fournir des API simples pour implémenter des clés d'accès, ce qui peut vous faire gagner du temps et économiser des ressources de développement.
Facilité de gestion. La spécification WebAuthn est encore susceptible d'être modifiée. L'utilisation de la dernière version d'une bibliothèque activement gérée vous aide à maintenir votre implémentation à jour.
Sécurité et conformité. Vous souhaitez que l'implémentation de votre clé d'accès soit conforme à la spécification WebAuthn et à ses exigences de sécurité. Les bibliothèques côté serveur FIDO peuvent vous aider à sécuriser votre implémentation et à la rendre conforme à la spécification. En fonction de votre produit et de votre secteur, votre mise en œuvre peut également être soumise à des réglementations qui vous obligent à utiliser des normes de sécurité spécifiques pour l'authentification.

Si possible, envisagez de soutenir financièrement les projets Open Source sur lesquels s'appuie votre produit.

Bibliothèques

Le dépôt GitHub awesome-webauthn comprend une liste de bibliothèques côté serveur sélectionnées par la communauté. Vous y trouverez des bibliothèques pour JavaScript, TypeScript, Go, Python, etc.
Une collection de bibliothèques est disponible sur passkeys.dev. Elle est gérée par le W3C WebAuthn Adoption Community Group.
FIDO Alliance fait référence à un ensemble de serveurs FIDO2.