Esta página foi traduzida pela API Cloud Translation.

Mantenha as chaves de acesso consistentes com as credenciais no seu servidor com a API Signal

Eiji Kitamura

Publicado em 12 de novembro de 2024

A API WebAuthn Signal permite que as partes confiáveis sinalizem credenciais existentes para provedores de chaves de acesso conectados. Com isso, um provedor de chave de acesso compatível pode atualizar ou remover chaves de acesso incorretas ou revogadas do armazenamento para que elas não sejam mais oferecidas aos usuários.

Compatibilidade

O Chrome para computador oferece suporte à API Signal a partir do Chrome 132. O Gerenciador de senhas do Google pode atualizar as chaves de acesso que refletem o sinal. Para provedores de chave de acesso baseados em extensões do Chrome, cabe a eles refletir o indicador ou não.

O suporte do Chrome no Android será lançado mais tarde.

O Safari oferece suporte, mas ainda não foi implementado. O Firefox ainda não compartilhou suas opiniões.

Contexto

Quando uma chave de acesso (uma credencial detectável) é criada, metadados como um nome de usuário e um nome de exibição são salvos no provedor de chave de acesso (como um gerenciador de senhas) junto com a chave privada, enquanto a credencial de chave pública é salva no servidor da parte confiável (RP). Salvar o nome de usuário e o nome de exibição ajuda o usuário a identificar com qual das chaves de acesso oferecidas fazer login quando solicitado. Isso é útil principalmente quando o usuário tem mais de duas chaves de acesso de provedores diferentes.

No entanto, há alguns casos em que as inconsistências entre a lista de chaves de acesso do provedor e a lista de credenciais do servidor podem causar confusão.

O primeiro caso é quando um usuário exclui uma credencial no servidor, deixando a chave de acesso no provedor de chaves de acesso intacta. Na próxima vez que o usuário tentar fazer login com uma chave de acesso, ela ainda será apresentada ao usuário pelo provedor. No entanto, a tentativa de fazer login vai falhar porque o servidor não poderá verificar com a chave pública que foi excluída.

O segundo caso é quando um usuário atualiza o nome de usuário ou o nome de exibição no servidor. Na próxima vez que o usuário tentar fazer login, a chave de acesso no provedor continuará mostrando o nome de usuário e o nome de exibição antigos, mesmo que eles tenham sido atualizados no servidor. O ideal é que eles estejam sincronizados.

API Signal

A API Signal é uma API WebAuthn que resolve essas confusões permitindo que os RPs sinalizem mudanças para o provedor de chaves de acesso. Há três métodos:

PublicKeyCredential.signalUnknownCredential: sinaliza que uma credencial não existe.
PublicKeyCredential.signalAllAcceptedCredentials: sinaliza uma lista de credenciais salvas.
PublicKeyCredential.signalCurrentUserDetails: sinaliza o nome de usuário e/ou o nome de exibição atualizados

Indicar que uma credencial não existe

const credential = await navigator.credentials.get({ ... });
const payload = credential.toJSON();

const result = await fetch('/login', { ... });

// Detect authentication failure due to lack of the credential
if (result.status === 404) {
  // Feature detection
  if (PublicKeyCredential.signalUnknownCredential) {
    await PublicKeyCredential.signalUnknownCredential({
      rpId: "example.com",
      credentialId: "vI0qOggiE3OT01ZRWBYz5l4MEgU0c7PmAA" // base64url encoded credential ID
    });
  } else {
    // Encourage the user to delete the passkey from the password manager nevertheless.
    ...
  }
}

Ao chamar PublicKeyCredential.signalUnknownCredential() com um ID de RP e um ID de credencial, o RP pode informar ao provedor de chave de acesso que a credencial especificada foi removida ou não existe. Cabe ao provedor de chave de acesso como lidar com esse sinal, mas a chave de acesso associada precisa ser removida para que o usuário não faça login com uma chave de acesso, já que a credencial associada não existe.

Essa API pode ser invocada quando uma tentativa de login com chave de acesso falha devido à ausência de uma credencial. Dessa forma, o RP pode impedir que o usuário tente fazer login com uma chave de acesso que não tenha uma credencial associada. Diferentemente de signalAllAcceptedCredentials, esse método não exige a transmissão de toda a lista de IDs de credencial. Portanto, ele deve ser usado sempre que o usuário não estiver autenticado para evitar a revelação do número de chaves de acesso de um determinado usuário.

Uma caixa de diálogo exibida quando uma chave de acesso é excluída do Gerenciador de senhas do Google no Chrome.

Sinalizar uma lista de credenciais salvas

// After a user deletes a passkey or a user is signed in.

// Feature detection
if (PublicKeyCredential.signalAllAcceptedCredentials) {
  await PublicKeyCredential.signalAllAcceptedCredentials({
    rpId: "example.com",
    userId: "M2YPl-KGnA8", // base64url encoded user ID
    allAcceptedCredentialIds: [ // A list of base64url encoded credential IDs
      "vI0qOggiE3OT01ZRWBYz5l4MEgU0c7PmAA",
      ...
    ]
  });
}

Ao chamar PublicKeyCredential.signalAllAcceptedCredentials() com um ID de RP, um ID de usuário e uma lista de IDs de credenciais armazenadas, o RP pode informar ao provedor de chave de acesso as credenciais restantes no armazenamento. Cabe ao provedor de chaves de acesso como lidar com esse indicador, mas as chaves de acesso que não correspondem a essa lista serão removidas para que o usuário não veja chaves de acesso no login para as quais a credencial associada não existe.

Essa API precisa ser invocada quando um usuário exclui uma chave de acesso no RP e em cada login, para que o provedor de chaves de acesso possa manter uma lista sincronizada de chaves de acesso.

Sinal de atualização do nome de usuário e do nome de exibição

// After a user updated their username and/or display name
// or a user is signed in.

// Feature detection
if (PublicKeyCredential.signalCurrentUserDetails) {
  await PublicKeyCredential.signalCurrentUserDetails({
    rpId: "example.com",
    userId: "M2YPl-KGnA8", // base64url encoded user ID
    name: "a.new.email.address@example.com", // username
    displayName: "J. Doe"
  });
} else {
}

Ao chamar PublicKeyCredential.signalCurrentUserDetails() com um ID de RP, um ID de usuário, um nome de usuário e um nome de exibição, o RP pode informar ao provedor de chave de acesso as informações do usuário atualizadas. Cabe ao provedor de chaves de acesso lidar com esse indicador, mas as chaves de acesso do usuário precisam ser atualizadas com as novas informações do usuário.

Essa API pode ser invocada quando o nome de usuário ou de exibição do usuário é atualizado e em cada login, para que o provedor de chave de acesso possa manter essas informações sincronizadas com o servidor.

Uma caixa de diálogo exibida quando os metadados de uma chave de acesso são atualizados no Gerenciador de senhas do Google no Chrome.

Resumo

A API Signal ajuda você a criar uma experiência melhor de chave de acesso, eliminando a possibilidade de falhas inesperadas de login. Com a API Signal, as partes confiáveis podem sinalizar a lista de credenciais existentes e os metadados delas para manter as chaves de acesso no provedor de chaves de acesso sincronizadas.

Para saber mais sobre chaves de acesso, consulte Fazer login sem senha com chaves de acesso.