Я создаю сайт, который использует Webauthn для входа без пароля. В настоящее время это отлично работает в Chrome для Windows и macOS. .
Я использую YubiKey 5 для тестирования своей реализации, которая поддерживает использование PIN-кода для предоставления проверки пользователя вместо обычного присутствия пользователя (т.е. пользователь нажал кнопку клавиши).
Однако, когда я пытаюсь использовать этот же сайт в Chrome 76 на Android 9, мне не предлагается ввести PIN-код, поэтому флаг проверки пользователя не установлен, и мой вход в систему (по замыслу) не выполняется.
Google придал большое значение тому, чтобы Android 7+ был совместим с FIDO2, но я не могу найти упоминания об этой критически важной отсутствующей функции, кроме устаревшая статья, в которой упоминается следующее:
Мы также работаем над более продвинутыми потоками, доступными в CTAP 2 и WebAuthn, такими как аутентификаторы, защищенные PIN-кодом, локальный выбор учетных записей (вместо ввода имени пользователя или пароля) и регистрация отпечатков пальцев.
Добавлена поддержка регистрации по отпечатку пальца; Аутентификаторы, защищенные PIN-кодом, все еще не поддерживаются даже в версиях Chrome 76 для Windows и macOS?
Это соответствующая часть моего обращения к navigator.credentials.create()
, которая должна требовать проверки пользователя:
"authenticatorSelection": {"requireResidentKey": false, "userVerification": "required"}