WebAuthn

Web Authentication API

https://www.w3.org/TR/webauthn/

https://w3c.github.io/webauthn/

Web Authentication: An API for accessing Public Key Credentials Level 2

https://www.w3.org/TR/webauthn-2/

WebAuthn2

Web 認証: 公開鍵認証にアクセスするための API レベル 2

Web Authentication: An API for accessing Public Key Credentials Level 3

https://www.w3.org/TR/webauthn-3/

WebAuthn3

Web 認証: 公開鍵認証にアクセスするための API レベル 3

https://developer.mozilla.org/ja/docs/Web/API/Web_Authentication_API

FIDO2のWeb用API をW3C側にもっていって作ってみたりしたもの

現在 Level 2 が規格化、Level3がドラフト

デモ

https://webauthn.io/

ブラウザとパスワードマネージャを分けて考えよう?

RFC 8809 Registries for Web Authentication (WebAuthn)

RFC 8812 CBOR Object Signing and Encryption (COSE) and JSON Object Signing and Encryption (JOSE) Registrations for Web Authentication (WebAuthn) Algorithms

WebAuthntication API: An API for accessing Public Key Credentials Level 2

概要

本仕様は、Webアプリケーションがユーザーを強力に認証するために、強力で証明済み、かつスコープが指定された公開鍵ベースの認証情報を作成および使用するためのAPIを定義します。概念的には、WebAuthnのリライングパーティをスコープとする1つ以上の公開鍵認証情報が、Webアプリケーションの要求に応じて認証器によって作成され、認証器にバインドされます。ユーザーエージェントは、ユーザーのプライバシーを保護するために、認証器とその公開鍵認証情報へのアクセスを仲介します。認証器は、ユーザーの同意なしに操作が実行されないようにする責任を負います。認証器は、アテステーション（構成証明）を介してリライングパーティに自身の特性に関する暗号学的証明を提供します。本仕様では、署名およびアテステーション機能を含む、WebAuthn準拠の認証器の機能モデルについても説明します。