WebAuthn通过浏览器API实现生物特征认证,支持指纹、面部识别等方式。它基于公钥加密,用户注册时生成密钥对,私钥存于设备,公钥由服务器保存;登录时通过挑战-响应机制验证身份。主流浏览器和操作系统均支持,需在https环境下运行,适用于高安全场景如网银登录或无密码认证,且保护用户隐私。
目前javaScript本身并没有原生的“生物特征认证API”,但现代浏览器通过Web Authentication API(简称WebAuthn)支持使用生物特征(如指纹、面部识别、虹膜等)进行身份验证。WebAuthn是W3C标准,允许网站通过公钥加密技术实现安全的身份认证,用户可以使用设备上的生物特征或安全密钥完成登录。
WebAuthn简介
WebAuthn是平台的一部分,由浏览器和操作系统协同工作,允许网站注册和认证用户,而无需传统密码。它支持以下认证方式:
- • 指纹识别(如Touch ID)
• 面部识别(如Face ID)
• PIN码或设备解锁密码
• 安全密钥(如YubiKey)
这些方式统称为“通行密钥”(Passkeys),可在手机、电脑或硬件密钥上使用,并与生物特征绑定。
基本使用流程
WebAuthn分为两个阶段:注册(Registration)和认证(Authentication)。
立即学习“Java免费学习笔记(深入)”;
1. 用户注册(创建凭证)
当用户首次注册时,网站请求浏览器生成一对密钥:
- • 公钥发送给服务器保存
• 私钥安全地存储在用户设备中(如TPM、Secure Enclave)
示例代码:
navigator.credentials.create({ publicKey: { challenge: new Uint8Array([/* 来自服务器的随机值 */]), rp: { name: "example.com" }, user: { id: new Uint8Array([1, 2, 3]), // 用户唯一ID name: "user@example.com", displayName: "John Doe" }, pubKeyCredParams: [{ alg: -7, type: "public-key" }], timeout: 60000, attestation: "none" } }).then(credential => { // 将凭证发送到服务器保存 });
2. 用户登录(认证)
用户再次登录时,服务器发送挑战(challenge),浏览器提示用户通过生物特征等方式验证身份。
示例代码:
navigator.credentials.get({ publicKey: { challenge: new Uint8Array([/* 服务器生成的挑战 */]), timeout: 60000, allowCredentials: [{ type: "public-key", id: new Uint8Array([/* 存储的凭证ID */]) }] } }).then(assertion => { // 发送签名结果到服务器验证 });
兼容性与限制
WebAuthn已被主流浏览器支持:
但需注意:
- • 必须在HTTPS环境下运行(本地开发可使用localhost例外)
• 不是所有设备都具备生物识别硬件
• 用户需主动授权使用生物特征
实际应用场景
适合需要高安全性的场景:
- • 网银或支付系统登录
• 敏感数据访问控制
• 替代传统密码的无密码登录方案
结合后端验证逻辑,WebAuthn可大幅提升账户安全性,防止钓鱼和密码泄露。
基本上就这些。WebAuthn不是直接让javascript读取指纹,而是通过标准化接口调用系统级认证功能,既安全又保护隐私。开发者应关注其集成方式,而非试图直接操作生物特征数据。不复杂但容易忽略的是挑战(challenge)的生成与验证,必须由服务器安全处理。