खास जानकारी
पासकी रजिस्ट्रेशन के बारे में खास जानकारी यहां दी गई है:
- पासकी बनाने के विकल्प बताएं. उन्हें क्लाइंट को भेजें, ताकि आप उन्हें पासकी बनाने वाले कॉल में भेज सकें: वेब पर WebAuthn API कॉल
navigator.credentials.create
और Android परcredentialManager.createCredential
. जब उपयोगकर्ता पासकी बनाने की पुष्टि करता है, तब पासकी बनाने के लिए कॉल बंद हो जाता है और क्रेडेंशियलPublicKeyCredential
दिखता है. - क्रेडेंशियल की पुष्टि करें और उसे सर्वर पर सेव करें.
नीचे दिए सेक्शन में, हर चरण से जुड़ी खास जानकारी दी गई है.
क्रेडेंशियल बनाने के विकल्प बनाएं
आपको सर्वर पर सबसे पहले PublicKeyCredentialCreationOptions
ऑब्जेक्ट बनाना होगा.
इसके लिए, अपनी FIDO सर्वर साइड लाइब्रेरी पर भरोसा करें. आम तौर पर, यह एक यूटिलिटी फ़ंक्शन उपलब्ध कराता है, जिससे आपके लिए ये विकल्प बनाए जा सकते हैं. SimpleWebAuthn के ऑफ़र, जैसे कि generateRegistrationOptions
.
PublicKeyCredentialCreationOptions
में पासकी बनाने के लिए ज़रूरी सभी जानकारी शामिल होनी चाहिए: उपयोगकर्ता के बारे में जानकारी, आरपी के बारे में जानकारी, और बनाए जा रहे क्रेडेंशियल की प्रॉपर्टी के लिए कॉन्फ़िगरेशन. इन सभी वैल्यू को तय करने के बाद, इन्हें अपनी FIDO सर्वर साइड लाइब्रेरी में मौजूद फ़ंक्शन पर पास करें. यह फ़ंक्शन PublicKeyCredentialCreationOptions
ऑब्जेक्ट बनाने के लिए ज़िम्मेदार है.
PublicKeyCredentialCreationOptions
के कुछ फ़ील्ड कॉन्स्टेंट हो सकते हैं. अन्य वैल्यू को सर्वर पर डाइनैमिक तौर पर तय किया जाना चाहिए:
rpId
: सर्वर पर आरपी आईडी भरने के लिए, सर्वर साइड फ़ंक्शन या वैरिएबल का इस्तेमाल करें, जो आपको अपने वेब ऐप्लिकेशन का होस्टनेम देते हैं, जैसे किexample.com
.user.name
औरuser.displayName
: इन फ़ील्ड में जानकारी भरने के लिए, साइन इन किए हुए उपयोगकर्ता के सेशन की जानकारी का इस्तेमाल करें. अगर उपयोगकर्ता साइन अप के दौरान पासकी बना रहा है, तो उसके नए खाते की जानकारी का इस्तेमाल करें. आम तौर पर,user.name
एक ईमेल पता होता है. यह आरपीपी के लिए यूनीक होता है.user.displayName
, उपयोगकर्ता के लिए आसान नाम है. ध्यान दें कि सभी प्लैटफ़ॉर्म,displayName
का इस्तेमाल नहीं करेंगे.user.id
: खाता बनने के बाद जनरेट होने वाली एक रैंडम और यूनीक स्ट्रिंग. बदलाव करने लायक उपयोगकर्ता नाम के उलट, यह हमेशा के लिए होना चाहिए. यूज़र आईडी, किसी खाते की पहचान करता है. हालांकि, इसमें व्यक्तिगत पहचान से जुड़ी कोई जानकारी शामिल नहीं होनी चाहिए. ऐसा हो सकता है कि आपके सिस्टम में पहले से ही यूज़र आईडी मौजूद हो. हालांकि, अगर ज़रूरत हो, तो खास तौर पर पासकी के लिए एक यूज़र आईडी बनाएं, ताकि उस में व्यक्तिगत पहचान से जुड़ी जानकारी न हो.excludeCredentials
: पासकी की सेवा देने वाली कंपनी से पासकी का डुप्लीकेट बनाने से बचने के लिए, मौजूदा क्रेडेंशियल के आईडी की सूची. इस फ़ील्ड में अपने-आप जानकारी भरने के लिए, अपने डेटाबेस में इस उपयोगकर्ता के मौजूदा क्रेडेंशियल खोजें. अगर कोई पासकी पहले से मौजूद है, तो उसे बनाने से रोकें पर जाकर, दी गई जानकारी देखें.challenge
: क्रेडेंशियल के रजिस्ट्रेशन के लिए, पुष्टि करना तब तक काम का नहीं है, जब तक पुष्टि करने की सुविधा का इस्तेमाल नहीं किया जाता. यह पासकी देने वाले की पहचान और उससे मिलने वाले डेटा की पुष्टि करने की बेहतर तकनीक है. हालांकि, अगर आपने पुष्टि करने की प्रक्रिया का इस्तेमाल नहीं किया है, तब भी चैलेंज को फ़ील्ड में भरना ज़रूरी है. ऐसे में, इस चैलेंज को एक0
पर सेट किया जा सकता है, ताकि इसे आसानी से पूरा किया जा सके. पुष्टि करने के लिए सुरक्षित चैलेंज बनाने के निर्देश, सर्वर साइड पासकी की पुष्टि करने की सुविधा में उपलब्ध हैं.
कोड में बदलना और डिकोड करना
PublicKeyCredentialCreationOptions
में ArrayBuffer
वाले फ़ील्ड शामिल हैं. इसलिए, वे JSON.stringify()
के साथ काम नहीं करते. इसका मतलब है कि इस समय, एचटीटीपीएस पर PublicKeyCredentialCreationOptions
डिलीवर करने के लिए, कुछ फ़ील्ड को सर्वर पर मैन्युअल तरीके से कोड में बदलना होगा. इसके लिए base64URL
का इस्तेमाल करना होगा. इसके बाद, उन्हें क्लाइंट पर डिकोड करना होगा.
- आम तौर पर, सर्वर पर कोड में बदलने और डिकोड करने का काम आपकी FIDO सर्वर साइड लाइब्रेरी से किया जाता है.
- क्लाइंट पर, कोड में बदलने और डिकोड करने का काम मैन्युअल तरीके से इस समय किया जाना चाहिए. आने वाले समय में यह आसान हो जाएगा: विकल्पों को JSON के तौर पर
PublicKeyCredentialCreationOptions
में बदलने का एक तरीका उपलब्ध होगा. Chrome में लागू करने की स्थिति देखें.
कोड का उदाहरण: क्रेडेंशियल बनाने के विकल्प बनाना
हम अपने उदाहरणों में SimpleWebAuthn लाइब्रेरी का इस्तेमाल कर रहे हैं. यहां, हम सार्वजनिक कुंजी के क्रेडेंशियल बनाने के विकल्प को इसके generateRegistrationOptions
फ़ंक्शन के लिए उपलब्ध कराते हैं.
import {
generateRegistrationOptions,
verifyRegistrationResponse,
generateAuthenticationOptions,
verifyAuthenticationResponse
} from '@simplewebauthn/server';
import { isoBase64URL } from '@simplewebauthn/server/helpers';
router.post('/registerRequest', csrfCheck, sessionCheck, async (req, res) => {
const { user } = res.locals;
// Ensure you nest verification function calls in try/catch blocks.
// If something fails, throw an error with a descriptive error message.
// Return that message with an appropriate error code to the client.
try {
// `excludeCredentials` prevents users from re-registering existing
// credentials for a given passkey provider
const excludeCredentials = [];
const credentials = Credentials.findByUserId(user.id);
if (credentials.length > 0) {
for (const cred of credentials) {
excludeCredentials.push({
id: isoBase64URL.toBuffer(cred.id),
type: 'public-key',
transports: cred.transports,
});
}
}
// Generate registration options for WebAuthn create
const options = generateRegistrationOptions({
rpName: process.env.RP_NAME,
rpID: process.env.HOSTNAME,
userID: user.id,
userName: user.username,
userDisplayName: user.displayName || '',
attestationType: 'none',
excludeCredentials,
authenticatorSelection: {
authenticatorAttachment: 'platform',
requireResidentKey: true
},
});
// Keep the challenge in the session
req.session.challenge = options.challenge;
return res.json(options);
} catch (e) {
console.error(e);
return res.status(400).send({ error: e.message });
}
});
सार्वजनिक कुंजी सेव करना
क्लाइंट पर navigator.credentials.create
पूरी होने का मतलब है कि पासकी बना दी गई है. PublicKeyCredential
ऑब्जेक्ट दिखाया जाता है.
PublicKeyCredential
ऑब्जेक्ट में एक AuthenticatorAttestationResponse
ऑब्जेक्ट होता है. इससे यह पता चलता है कि पासकी बनाने के लिए, क्लाइंट के निर्देश पर पासकी की सेवा देने वाली कंपनी का जवाब क्या है. इसमें उस नए क्रेडेंशियल के बारे में जानकारी होती है जिसकी ज़रूरत आरपी के तौर पर, आपको बाद में उपयोगकर्ता की पुष्टि करने के लिए करनी होती है. AuthenticatorAttestationResponse
के बारे में ज़्यादा जानने के लिए, अपेंडिक्स: AuthenticatorAttestationResponse
में जाएं.
PublicKeyCredential
ऑब्जेक्ट को सर्वर पर भेजें. दस्तावेज़ मिलने के बाद, उसकी पुष्टि करें.
पुष्टि करने का यह चरण अपनी FIDO सर्वर साइड लाइब्रेरी को दें. आम तौर पर, इस मकसद के लिए यह एक यूटिलिटी फ़ंक्शन उपलब्ध कराता है. SimpleWebAuthn के ऑफ़र, जैसे कि verifyRegistrationResponse
. अपेंडिक्स: रजिस्ट्रेशन के जवाब की पुष्टि करना सेक्शन में जानें कि हुड के तहत क्या हो रहा है.
पुष्टि हो जाने के बाद, क्रेडेंशियल की जानकारी अपने डेटाबेस में सेव करें, ताकि बाद में उपयोगकर्ता उस क्रेडेंशियल से जुड़ी पासकी से अपनी पहचान की पुष्टि कर सके.
पासकी से जुड़े सार्वजनिक पासकोड के क्रेडेंशियल के लिए, खास तौर पर बने टेबल का इस्तेमाल करें. किसी उपयोगकर्ता के पास सिर्फ़ एक पासवर्ड हो सकता है, लेकिन उसके पास कई पासकी हो सकती हैं. उदाहरण के लिए, Apple iCloud Keychain से सिंक की गई पासकी और दूसरी Google Password Manager की मदद से सिंक की गई पासकी.
यहां उदाहरण के तौर पर एक स्कीमा दिया गया है, जिसका इस्तेमाल आप क्रेडेंशियल की जानकारी सेव करने के लिए कर सकते हैं:
- उपयोगकर्ता टेबल:
user_id
: प्राइमरी यूज़र आईडी. उपयोगकर्ता के लिए एक रैंडम, यूनीक, और स्थायी आईडी. इसे अपनी उपयोगकर्ता टेबल की प्राथमिक कुंजी के रूप में इस्तेमाल करें.username
. उपयोगकर्ता का तय किया गया उपयोगकर्ता नाम, जिसमें बदलाव किया जा सकता है.passkey_user_id
: पासकी से जुड़ा बिना व्यक्तिगत पहचान से जुड़ी जानकारी वाला यूज़र आईडी, जो रजिस्ट्रेशन के विकल्पों मेंuser.id
के तौर पर दिखता है. जब उपयोगकर्ता बाद में पुष्टि करने की कोशिश करेगा, तो पुष्टि करने वाला टूलuserHandle
में पुष्टि करने के अपने जवाब में इसpasskey_user_id
को उपलब्ध कराएगा. हमारा सुझाव है कि आपpasskey_user_id
को मुख्य कुंजी के तौर पर सेट न करें. सिस्टम में, मुख्य कुंजियों का इस्तेमाल व्यक्तिगत पहचान से जुड़ी जानकारी के तौर पर किया जाता है, क्योंकि इन्हें बहुत ज़्यादा इस्तेमाल किया जाता है.
- सार्वजनिक पासकोड के क्रेडेंशियल टेबल:
id
: क्रेडेंशियल आईडी. इसे अपनी सार्वजनिक कुंजी के क्रेडेंशियल टेबल की प्राथमिक कुंजी के रूप में इस्तेमाल करें.public_key
: क्रेडेंशियल की सार्वजनिक कुंजी.passkey_user_id
: उपयोगकर्ता टेबल के साथ लिंक बनाने के लिए, इसका इस्तेमाल विदेशी कुंजी के तौर पर करें.backed_up
: अगर पासकी को पासकी की सेवा देने वाली कंपनी ने सिंक किया है, तो पासकी का बैक अप लिया जाता है. अगर आपको आने वाले समय मेंbacked_up
पासकी रखने वाले उपयोगकर्ताओं को पासवर्ड नहीं डालना है, तो बैकअप की स्थिति को सेव करने की सुविधा चालू की जा सकती है.authenticatorData
में मौजूद फ़्लैग की जांच करके, यह पता लगाया जा सकता है कि पासकी का बैक अप लिया गया है या नहीं. इसके अलावा, इस जानकारी को आसानी से ऐक्सेस करने के लिए, आम तौर पर उपलब्ध FIDO सर्वर साइड लाइब्रेरी की सुविधा का इस्तेमाल किया जा सकता है. बैकअप लेने की ज़रूरी शर्तों की जानकारी स्टोर करने से, संभावित उपयोगकर्ता के सवालों के जवाब मिल सकते हैं.name
: आपके पास क्रेडेंशियल का डिसप्ले नेम जोड़ने का विकल्प भी है, ताकि उपयोगकर्ता क्रेडेंशियल को पसंद के मुताबिक नाम दे सकें.transports
: ट्रांसपोर्ट की कैटगरी. ट्रांसपोर्ट को स्टोर करने से, पुष्टि करने वाले उपयोगकर्ता के अनुभव को बेहतर बनाने में मदद मिलती है. ट्रांसपोर्ट उपलब्ध होने पर, ब्राउज़र ज़रूरत के हिसाब से काम कर सकता है. साथ ही, वह यूज़र इंटरफ़ेस (यूआई) दिखा सकता है जो क्लाइंट से बातचीत करने के लिए, पासकी की सेवा देने वाली कंपनी के इस्तेमाल किए गए ट्रांसपोर्ट से मेल खाता हो. खास तौर पर, फिर से पुष्टि करने के ऐसे मामलों में जहांallowCredentials
खाली नहीं होता.
उपयोगकर्ता अनुभव के मकसद से, अन्य जानकारी को सेव करने में मदद मिल सकती है. जैसे, पासकी की सुविधा देने वाली कंपनी के आइटम, क्रेडेंशियल बनाने का समय, और पिछली बार इस्तेमाल किए जाने का समय. पासकी के यूज़र इंटरफ़ेस के डिज़ाइन के बारे में ज़्यादा जानें.
कोड का उदाहरण: क्रेडेंशियल सेव करना
हम अपने उदाहरणों में SimpleWebAuthn लाइब्रेरी का इस्तेमाल कर रहे हैं.
यहां, हम रजिस्ट्रेशन के रिस्पॉन्स की पुष्टि की प्रक्रिया, उसके verifyRegistrationResponse
फ़ंक्शन को सौंपते हैं.
import { isoBase64URL } from '@simplewebauthn/server/helpers';
router.post('/registerResponse', csrfCheck, sessionCheck, async (req, res) => {
const expectedChallenge = req.session.challenge;
const expectedOrigin = getOrigin(req.get('User-Agent'));
const expectedRPID = process.env.HOSTNAME;
const response = req.body;
// This sample code is for registering a passkey for an existing,
// signed-in user
// Ensure you nest verification function calls in try/catch blocks.
// If something fails, throw an error with a descriptive error message.
// Return that message with an appropriate error code to the client.
try {
// Verify the credential
const { verified, registrationInfo } = await verifyRegistrationResponse({
response,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
if (!verified) {
throw new Error('Verification failed.');
}
const { credentialPublicKey, credentialID } = registrationInfo;
// Existing, signed-in user
const { user } = res.locals;
// Save the credential
await Credentials.update({
id: base64CredentialID,
publicKey: base64PublicKey,
// Optional: set the platform as a default name for the credential
// (example: "Pixel 7")
name: req.useragent.platform,
transports: response.response.transports,
passkey_user_id: user.passkey_user_id,
backed_up: registrationInfo.credentialBackedUp
});
// Kill the challenge for this session
delete req.session.challenge;
return res.json(user);
} catch (e) {
delete req.session.challenge;
console.error(e);
return res.status(400).send({ error: e.message });
}
});
अपेंडिक्स: AuthenticatorAttestationResponse
AuthenticatorAttestationResponse
में दो ज़रूरी ऑब्जेक्ट हैं:
response.clientDataJSON
, क्लाइंट के डेटा का JSON वर्शन है, जो वेब पर मौजूद वह डेटा होता है जो ब्राउज़र से दिखता है. अगर क्लाइंट Android ऐप्लिकेशन है, तो इसमें आरपी का ऑरिजिन, चैलेंज, औरandroidPackageName
शामिल होता है. आरपी के तौर परclientDataJSON
पढ़ने से, आपको वह जानकारी ऐक्सेस करने में मदद मिलती है जो ब्राउज़र नेcreate
के अनुरोध के समय देखी थी.response.attestationObject
इसमें दो तरह की जानकारी शामिल होती है:attestationStatement
यह तब तक काम का नहीं है, जब तक आप प्रमाणित करने की सुविधा का इस्तेमाल नहीं करते.authenticatorData
वह डेटा है जो पासकी की सेवा देने वाली कंपनी को दिखता है. आरपी के तौर परauthenticatorData
को पढ़ने से, आपको उस डेटा का ऐक्सेस मिल जाता है जो पासकी की सेवा देने वाली कंपनी ने देखा है. साथ ही, इसका डेटाcreate
के अनुरोध के समय दिखता है.
authenticatorData
इसमें नई बनाई गई पासकी से जुड़े सार्वजनिक पासकोड के क्रेडेंशियल के बारे में ज़रूरी जानकारी शामिल होती है:
- सार्वजनिक पासकोड का क्रेडेंशियल और उसके लिए एक यूनीक क्रेडेंशियल आईडी.
- क्रेडेंशियल से जुड़ा आरपी आईडी.
- ऐसे फ़्लैग जो पासकी बनाते समय उपयोगकर्ता की स्थिति के बारे में बताते हैं: क्या वाकई में कोई उपयोगकर्ता मौजूद था और क्या उपयोगकर्ता की पुष्टि हो गई है (
userVerification
देखें). - AACUD, पासकी की सुविधा देने वाली कंपनी की पहचान करता है. पासकी की जानकारी देने वाली सेवा, आपके उपयोगकर्ताओं के लिए काम की हो सकती है. यह खास तौर पर तब काम आती है, जब उन्होंने आपकी सेवा के लिए, पासकी की सुविधा देने वाली एक से ज़्यादा कंपनियों के लिए पासकी रजिस्टर की हो.
authenticatorData
को attestationObject
में नेस्ट किया गया है, लेकिन इसमें मौजूद जानकारी की ज़रूरत पासकी को लागू करने के लिए होती है. इससे कोई फ़र्क़ नहीं पड़ता कि आपको पुष्टि करने का तरीका इस्तेमाल करना है या नहीं. authenticatorData
को कोड में बदला गया है. इसमें ऐसे फ़ील्ड शामिल हैं जिन्हें बाइनरी फ़ॉर्मैट में कोड में बदला जाता है. आम तौर पर, सर्वर साइड की लाइब्रेरी पार्स और डिकोड करने की प्रोसेस को हैंडल करती है. अगर सर्वर साइड लाइब्रेरी का इस्तेमाल नहीं किया जा रहा है, तो getAuthenticatorData()
क्लाइंट-साइड का इस्तेमाल करें. इससे, वर्क सर्वर साइड को पार्स और डिकोड करने से बचा जा सकता है.
अपेंडिक्स: रजिस्ट्रेशन के रिस्पॉन्स की पुष्टि करना
हुड के तहत, रजिस्ट्रेशन के जवाब की पुष्टि करने के लिए ये जांच होती हैं:
- पक्का करें कि आरपी आईडी आपकी साइट से मेल खाता हो.
- देख लें कि अनुरोध का ऑरिजिन, आपकी साइट का ऑरिजिन (मुख्य साइट यूआरएल, Android ऐप्लिकेशन) ही हो.
- अगर आपको उपयोगकर्ता की पुष्टि करना ज़रूरी है, तो पक्का करें कि उपयोगकर्ता की पुष्टि करने वाला फ़्लैग
authenticatorData.uv
true
हो. पक्का करें कि उपयोगकर्ता की मौजूदगी का फ़्लैगauthenticatorData.up
,true
हो. ऐसा इसलिए, क्योंकि पासकी के लिए उपयोगकर्ता की मौजूदगी हमेशा ज़रूरी होती है. - देखें कि क्लाइंट ने आपके दिए गए चैलेंज को पूरा किया है या नहीं. अगर आपने पुष्टि करने की प्रक्रिया का इस्तेमाल नहीं किया है, तो इस जांच को समझना ज़रूरी नहीं है. हालांकि, इस जांच को लागू करना सबसे सही तरीका है: इससे यह पक्का होता है कि आने वाले समय में प्रमाणित करने की सुविधा का इस्तेमाल करने पर, आपका कोड तैयार है.
- पक्का करें कि क्रेडेंशियल आईडी अब तक किसी उपयोगकर्ता के लिए रजिस्टर नहीं किया गया है.
- पुष्टि करें कि पासकी बनाने वाली कंपनी, क्रेडेंशियल बनाने के लिए जिस एल्गोरिदम का इस्तेमाल करती है वह आपके एल्गोरिदम की सूची में शामिल है. यह एल्गोरिदम
publicKeyCredentialCreationOptions.pubKeyCredParams
के हरalg
फ़ील्ड में मौजूद होता है. आम तौर पर, यह एल्गोरिदम आपकी सर्वर साइड लाइब्रेरी में मौजूद होता है और यह आपको नहीं दिखता. इससे यह पक्का होता है कि उपयोगकर्ता सिर्फ़ उन एल्गोरिदम के साथ रजिस्टर कर सकते हैं जिन्हें आपने अनुमति देने के लिए चुना है.
ज़्यादा जानने के लिए, SimpleWebAuthn के verifyRegistrationResponse
के लिए सोर्स कोड को देखें या जानकारी में पुष्टि की पूरी सूची देखें.