WebAuthn 如何使多个不同域名的 rp 共用一个 credential?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 379 天前的主题，其中的信息可能已经有所发展或是发生改变。

想实现用户在（ a.com b.com c.com ）任意节点注册后，（当此节点失效时）可以在其他节点验证身份。使用 webauthn 生成凭证 navigator.credentials.create 后同步在多个 rp 上是没问题，问题是浏览器认域名，w3c 规范中 rp.id 只能有一个。求大佬给点思路？

webauthn

credential

15 条回复 • 2024-08-23 17:46:04 +08:00

Explr

2024-08-22 07:12:52 +08:00 via Android

WebAuthn 设计目的之一就是防止相似域名钓鱼，这个应该很难做到吧

imnpc

2024-08-22 08:44:54 +08:00

不支持必须在绑定的域名下运作

ghjh

2024-08-22 09:40:27 +08:00

不太行吧……
要不考虑三个网站共用一个登录页面？

lisxour

2024-08-22 11:52:20 +08:00

sso 。。。

raw0xff

2024-08-22 12:16:17 +08:00

@Explr
@imnpc
gpt 给的方案是加上 DIDs ，实际上就是加把备用钥匙，我认为不安全，相当于把 WebAuthn 原本生物识别安全级别降级了

@ghjh
不太行吧，原本目的就是防止单点故障后用户无法登录，这页面故障了全都无法登录。

zhouhu

2024-08-22 12:52:16 +08:00

绑定到一个根域名

raw0xff

2024-08-22 13:10:14 +08:00

@zhouhu 请审题，a.com b.com c.com

relsoul

2024-08-22 16:49:58 +08:00

这个可以归纳为 SSO ，如果软件层面目前解决不了那就从工程层面去解决。

raw0xff

2024-08-22 18:33:35 +08:00

@lisxour
@relsoul
请大佬给个思路，如何从工程层面解决？

relsoul

2024-08-23 10:42:00 +08:00

@raw0xff 单点登录，按照目前浏览器的限制这个问题技术层面是解决不了的，那就搞一个域名专门用来登录。用户登录系统本来就应该保持稳定性。如果要考虑这种分布式验证的话不如考虑用 2FA ，另一个... webauthn 这玩意挺难用的，在跨设备的时候很蛋疼，比如 web 端注册了后，手机也要登录这个系统的时候安卓，ios ，pc 同步 key 这步就麻烦得要死。

skallz

2024-08-23 12:42:18 +08:00

这个可以通过 websocket 、搭配浏览器指纹+ip 可以做到

raw0xff

2024-08-23 13:20:34 +08:00

@skallz 大佬详细讲讲？

WebAuthn L3 好像支持跨域了

skallz

2024-08-23 14:08:14 +08:00

@raw0xff 通过浏览器指纹+ip ，生成唯一设备标识，通过 websocket 让同一个设备下的多个页面共享数据

raw0xff

2024-08-23 17:28:38 +08:00

@skallz 大概明白你说的，但是跟我的提问关联在哪里？
用户在 a.com 通过 webauthn 生成 credential ，a.com 可以将 cred 共享给 b.com c.com ，但浏览器遵循规范不允许 rpid 以外的域访问。

skallz

2024-08-23 17:46:04 +08:00

@raw0xff emmm ，没用过 webauthn ，不清楚里面校验的具体规则，如果只是无状态 token 的话，倒是可以在其中一个页面获取到，然后服务推送给同设备下的其他页面。。。