← 返回首页
Authenticator-Daten - Web-APIs | MDN
HTML

HTML: Markup language

HTML reference HTML guides Markup languages
CSS

CSS: Styling language

CSS reference CSS guides Layout cookbook
JavaScriptJS

JavaScript: Scripting language

JS reference JS guides
Web APIs

Web APIs: Programming interfaces

Web API reference Web API guides
All

All web technology

Technologies Topics
Learn

Learn web development

Frontend developer course Learn HTML Learn CSS Learn JavaScript
Tools

Discover our tools

About

Get to know MDN better

Blog
Seitenleiste umschalten
  1. Web
  2. Web-APIs
  3. Web Authentication API
  4. Authenticator-Daten
Farbschema
  • Systemeinstellung
  • Hell
  • Dunkel
Deutsch
Sprache merken Mehr erfahren

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Authenticator-Daten

Die Authenticator-Datenstruktur enthält Informationen vom Authenticator über die Verarbeitung einer Anmeldeinformationserstellung oder Authentifizierungsanfrage – wie der rpIdHash der vertrauenden Partei, ein Signaturzähler, ein Test der Benutzerpräsenz, Benutzerüberprüfungsflaggen und alle vom Authenticator verarbeiteten Erweiterungen. Diese Seite erklärt, was in der Datenstruktur enthalten ist.

In diesem Artikel

Zugriff auf Authenticator-Daten

Authenticator-Daten werden dem Browser als ein ArrayBuffer verfügbar gemacht und können auf verschiedene Weise abgerufen werden. Die zwei bequemsten Methoden sind:

Datenstruktur

Ein Authenticator-Daten ArrayBuffer ist mindestens 37 Bytes lang und enthält die folgenden Felder:

rpIdHash (32 Bytes)

Der SHA-256-Hash der Relying Party ID, auf die die Anmeldeinformation beschränkt ist. Der Server wird sicherstellen, dass dieser Hash zum SHA256-Hash seiner eigenen vertrauenden Partei-ID passt, um Phishing oder andere Man-in-the-Middle-Angriffe zu verhindern.

flags (1 Byte)

Ein Bitfeld, das verschiedene Attribute anzeigt, die vom Authenticator bestätigt wurden. Die Bits sind wie folgt, wobei Bit 0 das am wenigsten signifikante Bit ist und alle nicht speziell erwähnten Bits "für zukünftige Verwendung reserviert" sind:

  • Bit 0, Benutzerpräsenz (UP): Wenn gesetzt (d.h. auf 1), hat der Authenticator bestätigt, dass der Benutzer durch einen Test der Benutzerpräsenz (TUP) anwesend war, z. B. durch das Drücken eines Knopfes am Authenticator.
  • Bit 2, Benutzerüberprüfung (UV): Wenn gesetzt, hat der Authenticator den tatsächlichen Benutzer durch ein biometrisches Merkmal, eine PIN oder eine andere Methode überprüft.
  • Bit 3, Backup-Berechtigung (BE): Wenn gesetzt, ist die von dem Authenticator zur Generierung einer Aussage verwendete öffentliche Schlüsselanmeldequelle für ein Backup geeignet. Dies bedeutet, dass sie auf irgendeine Weise gesichert werden kann (zum Beispiel über die Cloud oder lokale Netzwerksynchronisierung) und daher auf einem anderen Authenticator als dem ursprünglichen Authenticator vorhanden sein kann. Backup-fähige Anmeldequellen sind daher auch als Mehrgeräte-Anmeldungen bekannt.
  • Bit 4, Backup-Zustand (BS): Wenn gesetzt, ist die öffentlicher Schlüsselanmeldequelle aktuell gesichert (siehe Bit 3 für Kontext).
  • Bit 6, Attestierte Anmeldedaten (AT): Wenn gesetzt, folgen die attestierten Anmeldedaten unmittelbar nach den ersten 37 Bytes dieser authenticatorData.
  • Bit 7, Erweiterungsdaten (ED): Wenn gesetzt, sind Erweiterungsdaten vorhanden. Erweiterungsdaten folgen den attestierten Anmeldedaten, falls vorhanden, oder folgen sofort den ersten 37 Bytes der authenticatorData, wenn keine attestierten Anmeldedaten vorhanden sind.
signCount (4 Bytes)

Ein Signaturzähler, wenn vom Authenticator unterstützt (andernfalls auf 0 gesetzt). Server können diesen Zähler optional verwenden, um eine Klonung des Authenticators zu erkennen.

attestedCredentialData (variable Länge)

Die Anmeldeinformationen, die erstellt wurden. Dies ist nur während eines navigator.credentials.create()-Aufrufs vorhanden. Dies ist eine Sequenz von Bytes mit folgendem Format:

  • AAGUID (16 Bytes): Die Authenticator Attestation Globally Unique Identifier, eine eindeutige Nummer, die das Modell des Authenticators identifiziert (nicht die spezifische Instanz des Authenticators). Eine vertrauende Partei kann dies verwenden, um die Eigenschaften des Authenticators herauszufinden, indem sie seine Metadatenanweisung über den FIDO-Metadatendienst abruft. Dies ist in bestimmten Situationen relevant, wie etwa bei Unternehmensbereitstellungen oder wo regulatorische Anforderungen vorschreiben, dass ein bestimmter Typ von Authenticator verwendet werden muss; in anderen Fällen sollte es ignoriert werden.

  • credentialIdLength (2 Bytes): Die Länge der Anmelde-ID, die direkt auf diese Bytes folgt.

  • credentialId (variable Länge): Ein eindeutiger Bezeichner für diese Anmeldeinformationen, sodass sie für zukünftige Authentifizierungen angefordert werden können. Die Anmeldeinformation ist "credentialIdLength" Bytes lang.

  • credentialPublicKey (variable Länge): Ein COSE-codierter öffentlicher Schlüssel. Dieser öffentliche Schlüssel wird auf dem Server im Zusammenhang mit einem Benutzerkonto gespeichert und für zukünftige Authentifizierungen verwendet. Vertrauende Parteien können die DER-codierte Form davon ohne das Parsen der COSE-codierten Authenticator-Daten über die Methode AuthenticatorAttestationResponse.getPublicKey() abrufen.

extensions (variable Länge)

Eine optionale CBOR-Karte, die die Antwortausgaben von vom Authenticator verarbeiteten Erweiterungen enthält.

Erweiterungen sind optional und verschiedene Browser können unterschiedliche Erweiterungen erkennen. Die Verarbeitung von Erweiterungen ist für den Browser immer optional: Wenn ein Browser eine bestimmte Erweiterung nicht erkennt, wird diese einfach ignoriert. Für Informationen zur Verwendung von Erweiterungen und welche von welchen Browsern unterstützt werden, siehe Web Authentication Extensions.

Hinweis: Die Authenticator-Daten enthalten nur die Ergebnisse von vom Authenticator verarbeiteten Erweiterungen. Die Ergebnisse von vom Browser (Client) verarbeiteten Erweiterungen können über PublicKeyCredential.getClientExtensionResults abgerufen werden.

Siehe auch

Definition der Authenticator-Daten in der WebAuthn-Spezifikation

Help improve MDN

War diese Übersetzung hilfreich?
Ja Nein
Erfahren Sie, wie Sie beitragen können Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden
  1. Web Authentication API
  2. Anleitungen
    1. Attestation und Assertion
    2. Authenticator-Daten
    3. Web-Authentifizierungserweiterungen
  3. Interfaces
    1. PublicKeyCredential
    2. PublicKeyCredentialCreationOptions
    3. PublicKeyCredentialRequestOptions
    4. AuthenticatorResponse
    5. AuthenticatorAttestationResponse
    6. AuthenticatorAssertionResponse
  4. Methoden
    1. CredentialsContainer.create()
    2. CredentialsContainer.get()

Der Bauplan für ein besseres Internet.

MDN Mitmachen Entwicklung

Besuche die gemeinnützige Muttergesellschaft der Mozilla Corporation, die Mozilla Foundation.
Teile dieses Inhalts sind ©1998–2026 von einzelnen mozilla.org-Mitwirkenden. Inhalte sind verfügbar unter einer Creative-Commons-Lizenz.