WebAuthn 策略 - Remix Auth
使用 Web Authentication 密码密钥和物理令牌对用户进行身份验证。它使用 SimpleWebAuthn 实现,并支持使用密码密钥进行用户身份验证和用户注册。
此软件包应被视为不稳定。它在我的有限测试中有效,但我尚未涵盖所有情况或编写自动化测试。买者自负。
支持的运行时
| 运行时 | 是否支持 |
|---|---|
| Node.js | ✅ |
| Cloudflare | ❓ |
我尚未在 Cloudflare 环境中对其进行测试。如果你测试了,请告诉我结果如何!
此软件包也仅支持 ESM,因为 package.json 很可怕,我不确定如何设置必要的构建步骤。你可能需要在你的 remix.config.js 文件中将此添加到你的
serverDependenciesToBundle中。
关于 Web Authentication
Web Authentication 允许用户将设备注册为密码密钥。该设备可以是 USB 设备(如 Yubikey)、运行网页的计算机,或单独的蓝牙连接设备(如智能手机)。此页面对好处进行了很好的总结,你可以在 此处亲自尝试一下。
WebAuthn 遵循一个两步过程。首先,设备被注册为密码密钥。浏览器生成一个私钥/公钥对,将其与用户 ID 和用户名关联,并将公钥发送到服务器进行验证。此时,服务器可以使用该密码密钥创建新用户,或者如果用户已登录,则服务器可以将该密码密钥与现有用户关联。
在身份验证步骤中,浏览器使用密码密钥的私钥对服务器发送的质询进行签名,服务器在验证步骤中使用其存储的公钥进行检查。
此策略处理生成质询、将其存储在会话存储中、将 WebAuthn 选项传递给客户端、生成密码密钥以及验证密码密钥。由于此策略需要数据库持久性和基于浏览器的 API,因此需要更多工作才能设置。
注意:此策略还需要在浏览器上生成字符串用户 ID。如果你的设置需要生成 ID,你可能需要通过创建验证器用户 ID 和实际用户 ID 的映射来解决此限制。
设置
安装
此项目依赖于 remix-auth。安装它并按照设置说明进行操作。
npm install remix-auth remix-auth-webauthn
会话存储
你需要将密码密钥质询存储在某种会话存储中,以避免重放攻击。你可以使用存储用户对象的同一会话存储。
import { createCookieSessionStorage } from "react-router";
import { User } from "~/utils/db.server";
type SessionData = {
user: User;
challenge?: string;
};
type SessionFlashData = {
error: string;
};
export const userSession = createCookieSessionStorage<
SessionData,
SessionFlashData
>({
cookie: {
name: "__session",
httpOnly: true,
maxAge: 60 * 60 * 24 * 30, // One month
path: "/",
sameSite: "lax",
secrets: ["s3cret1"],
secure: process.env.NODE_ENV === "production",
},
});
数据库
此策略需要数据库访问来存储用户验证器。数据库的类型无关紧要,但该策略期望验证器与此接口匹配(由 @simplewebauthn/server 提供)
interface Authenticator {
// SQL: Encode to base64url then store as `TEXT` or a large `VARCHAR(511)`. Index this column
credentialID: string;
// Some reference to the user object. Consider indexing this column too
userId: string;
// SQL: Encode to base64url and store as `TEXT`
credentialPublicKey: string;
// SQL: Consider `BIGINT` since some authenticators return atomic timestamps as counters
counter: number;
// SQL: `VARCHAR(32)` or similar, longest possible value is currently 12 characters
// Ex: 'singleDevice' | 'multiDevice'
credentialDeviceType: string;
// SQL: `BOOL` or whatever similar type is supported
credentialBackedUp: boolean;
// SQL: `VARCHAR(255)` and store string array or a CSV string
// Ex: ['usb' | 'ble' | 'nfc' | 'internal']
transports: string;
// SQL: `VARCHAR(36)` or similar, since AAGUIDs are 36 characters in length
aaguid: string;
}
如果你只是随便玩玩,可以使用此存根内存数据库。
显示代码
// /app/db.server.ts
import { type Authenticator } from "remix-auth-webauthn/server";
export type User = { id: string; username: string };
const authenticators = new Map<string, Authenticator>();
const users = new Map<string, User>();
export async function getAuthenticatorById(id: string) {
return authenticators.get(id) || null;
}
export async function getAuthenticators(user: User | null | undefined) {
if (!user) return [];
const userAuthenticators: Authenticator[] = [];
authenticators.forEach((authenticator) => {
if (authenticator.userId === user.id) {
userAuthenticators.push(authenticator);
}
});
return userAuthenticators;
}
export async function getUserByUsername(username: string) {
users.forEach((user) => {
if (user.username === username) {
return user;
}
});
return null;
}
export async function getUserById(id: string) {
return users.get(id) || null;
}
export async function createAuthenticator(
authenticator: Omit<Authenticator, "userId">,
userId: string
) {
authenticators.set(authenticator.id, { ...authenticator, userId });
}
export async function createUser(username: string) {
const user = { id: Math.random().toString(36), username };
users.set(user.id, user);
return user;
}
请注意,每次服务器重新启动时,此数据库都会重置,但你生成的任何密码密钥仍将存在于你的设备上。你必须手动删除它们。
创建策略实例
此策略试图不对你的数据库结构做任何假设,因此它需要多个配置选项。此外,为了让你能够访问 WebAuthnStrategy 实例上的方法,请在将其传递给 authenticator.use 之前创建并导出它。
// /app/authenticator.server.ts
import { Authenticator } from "remix-auth";
import {
WebAuthnStrategy,
Authenticator as WebAuthnAuthenticator,
} from "remix-auth-webauthn";
import {
createAuthenticator,
createUser,
getAuthenticatorById,
getAuthenticators,
getUserById,
getUserByUsername,
User,
} from "~/utils/db.server";
export let authenticator = new Authenticator<User>();
export const webAuthnStrategy = new WebAuthnStrategy<User>(
{
// The React Router session storage where the "challenge" key is stored
sessionStorage: userSession,
// The human-readable name of your app
// Type: string | (response:Response) => Promise<string> | string
rpName: "Remix Auth WebAuthn",
// The hostname of the website, determines where passkeys can be used
// See https://www.w3.org/TR/webauthn-2/#relying-party-identifier
// Type: string | (response:Response) => Promise<string> | string
rpID: (request) => new URL(request.url).hostname,
// Website URL (or array of URLs) where the registration can occur
origin: (request) => new URL(request.url).origin,
// Return the list of authenticators associated with this user. You might
// need to transform a CSV string into a list of strings at this step.
getUserAuthenticators: async (user) => {
const authenticators = await getAuthenticators(user);
return authenticators.map((authenticator) => ({
...authenticator,
transports: authenticator.transports.split(","),
}));
},
// Transform the user object into the shape expected by the strategy.
// You can use a regular username, the users email address, or something else.
getUserDetails: (user) =>
user ? { id: user.id, username: user.username } : null,
// Find a user in the database with their username/email.
getUserByUsername: (username) => getUserByUsername(username),
getAuthenticatorById: (id) => getAuthenticatorById(id),
},
async function verify({ authenticator, type, username }) {
// ...Implement later
}
);
authenticator.use(webAuthnStrategy);
编写你的验证函数
验证函数处理注册和身份验证步骤,并期望你返回一个 user 对象,如果验证失败则抛出错误。
验证函数将接收一个验证器对象(不带 userId)、提供的用户名和验证类型 - registration 或 authentication。
注意:通过检查用户是否已登录,应该可以扩展此功能以支持给单个用户多个密码密钥。
const webAuthnStrategy = new WebAuthnStrategy(
{
// Options here...
},
async function verify({ authenticator, type, username }) {
let user: User | null = null;
const savedAuthenticator = await getAuthenticatorById(authenticator.id);
if (type === "registration") {
// Check if the authenticator exists in the database
if (savedAuthenticator) {
throw new Error("Authenticator has already been registered.");
} else {
// Username is null for authentication verification,
// but required for registration verification.
// It is unlikely this error will ever be thrown,
// but it helps with the TypeScript checking
if (!username) throw new Error("Username is required.");
user = await getUserByUsername(username);
// Don't allow someone to register a passkey for
// someone elses account.
if (user) throw new Error("User already exists.");
// Create a new user and authenticator
user = await createUser(username);
await createAuthenticator(authenticator, user.id);
}
} else if (type === "authentication") {
if (!savedAuthenticator) throw new Error("Authenticator not found");
user = await getUserById(savedAuthenticator.userId);
}
if (!user) throw new Error("User not found");
return user;
}
);
设置你的登录页面加载器和操作
登录页面将需要一个加载器来提供来自服务器的 WebAuthn 选项,以及一个操作来将密码密钥传递回服务器。
// /app/routes/_auth.login.ts
import type { Route } from "./+types/home";
export async function loader({ request }: Route.LoaderArgs) {
const session = await userSession.getSession(request.headers.get("cookie"));
const user = session.get("user");
const options = await webAuthnStrategy.generateOptions(request, user);
// Set the challenge in a session cookie so it can be accessed later.
session.set("challenge", options.challenge);
// Update the cookie
return data(
{ options, user },
{
headers: {
"Set-Cookie": await userSession.commitSession(session),
"Cache-Control": "no-store",
},
}
);
}
export async function action({ request }: Route.ActionArgs) {
const session = await userSession.getSession(request.headers.get("cookie"));
try {
const user = await authenticator.authenticate("webauthn", request);
session.set("user", user);
// Redirect to the logged-in page.
throw redirect("/", {
headers: {
"Set-Cookie": await userSession.commitSession(session),
},
});
} catch (error) {
// This allows us to return errors to the page without triggering the error boundary.
if (error instanceof Error) {
return { error, user: null };
}
// Throw other errors, such as responses that need to redirect the browser.
throw error;
}
}
确保你用于设置质询的会话存储是你传递给 WebAuthnStrategy 类的同一存储
设置表单
为了易于使用,此策略提供了一个 onSubmit 处理程序,该处理程序执行必要的浏览器端操作以生成密码密钥。 onSubmit 处理程序是通过传入上面加载器中的 options 对象生成的。根据你的设置,你可能需要为注册和身份验证实现单独的表单。
注册时,该过程遵循几个步骤
- 首次访问登录页面时,服务器将提供一个可用于注册和身份验证的选项对象。
- 用户通过输入所需的用户名并按下“检查用户名”按钮来请求注册,该按钮会提交一个 GET 请求以获取更新的选项。
- 服务器会响应用户名是否已被占用,以及用户是否已注册密码密钥,以便浏览器不会产生重复的密码密钥。
- 表单必须再次提交,这次是 POST,并带有用于注册的实际密码密钥。
- 服务器验证密码密钥,创建新用户并让用户登录。
你的注册表单应包含一个必需的 username 字段和 <button name="intent" value="registration"> 以触发注册。你可以在提交按钮上使用 formMethod="GET" 将 username 字段的值提交给加载器,以检查该用户名是否可用。 registration 按钮应根据加载器中的选项是否指示用户名可用而更改状态和行为。如下所示。
身份验证是一个更简单的过程,只需要按一个按钮
- 用户请求身份验证,浏览器会显示该域的可用密码密钥。
- 用户选择一个密码密钥,生成表单并提交给服务器。
- 服务器通过将其与数据库进行比较来验证密码密钥,并让用户登录。
由于用户名与浏览器中的密码密钥一起存储,因此身份验证表单不需要 username 字段,但你应该包含一个类似于这样的提交按钮:<button name="intent" value="authentication"> 以触发身份验证流程。
以下是这些表单在实践中的样子
// /app/routes/_auth.login.ts
import { handleFormSubmit } from "remix-auth-webauthn/browser";
export default function Home({ loaderData, actionData }: Route.ComponentProps) {
return (
<Form
onSubmit={handleFormSubmit(loaderData.options)}
method="POST"
className="flex flex-col gap-2 m-8 w-64"
>
<label>Username</label>
<input
type="text"
name="username"
placeholder="alexanderson1993"
className="p-2 rounded"
/>
<button formMethod="GET" className="px-2 py-1 bg-blue-500 rounded">
Check Username
</button>
<button
name="intent"
value="registration"
disabled={loaderData.options.usernameAvailable !== true}
className="px-2 py-1 bg-orange-500 rounded disabled:opacity-50"
>
Register
</button>
<button
name="intent"
value="authentication"
className="px-2 py-1 bg-green-500 rounded"
>
Authenticate
</button>
{actionData?.error ? <div>{actionData.error.message}</div> : null}
</Form>
)
}
你可以在 handleFormSubmit 的第二个参数中设置 attestationType。如果省略,则默认为 none
onSubmit={handleFormSubmit(options, { attestationType: "direct" })}
向用户显示密码密钥
在你的应用中支持密码密钥的一个重要部分是允许用户在设置页面或类似页面上管理其密码密钥。用户应该能够查看其密码密钥列表、从数据库中删除密码密钥以及注册新的密码密钥。
你可以使用策略实例上的 getUserAuthenticators 函数来获取与用户关联的密码密钥列表
// /app/routes/settings.tsx
export async function loader({ request }: LoaderFunctionArgs) {
const user = await authenticator.isAuthenticated(request);
if (!user) {
return redirect("/login");
}
const authenticators = await webAuthnStrategy.getUserAuthenticators(user);
return json({ authenticators });
};
export default function Settings() {
const data = useLoaderData();
return (
<ul>
{data.authenticators.map((authenticator) => (
...
))}
</ul>
);
}
在列出密码密钥时,向用户显示注册密码密钥的设备名称也很有帮助,这样他们就可以区分它们(尤其是在他们注册了多个密码密钥时)。为此,你可以使用 passkey-authenticator-aaguids 存储库中提供的社区来源列表,将每个验证器的 aaguid 与其注册设备进行匹配,并向用户显示名称(甚至品牌图标)。
要了解有关密码密钥管理最佳实践的更多信息,请参阅 Google 的密码密钥用户旅程指南。
