在WordPress网站中启用Passkey认证

要在WordPress网站中启用Passkey认证，你可以按照以下步骤操作：

1. 安装插件：首先，你需要安装一个支持WebAuthn和Passkey认证的WordPress插件。WP-WebAuthn是一个可以在WordPress站点上启用WebAuthn的插件。
2. 配置插件：安装插件后，你需要进入WordPress管理后台的“设置”部分，找到WP-WebAuthn插件的设置页面，并按照插件的文档说明进行配置。
3. 启用HTTPS：由于WebAuthn和Passkey认证需要安全的连接，确保你的WordPress网站使用HTTPS连接。如果尚未启用，请配置SSL证书以启用HTTPS。
4. 用户注册身份验证器：用户需要在他们的个人资料页面注册身份验证器。这可能涉及到使用生物识别技术，如指纹或面部识别，或者是通过USB设备、NFC等方式。
5. 测试认证流程：配置完成后，尝试注册和使用Passkey进行登录，以确保一切工作正常。
6. 用户教育：由于Passkey是一种较新的技术，你可能需要向你的用户解释如何使用它，以及它如何增强账户的安全性。
7. 技术支持：如果你遇到任何问题，可以查看插件的文档，或者在插件的GitHub页面上寻求帮助。
8. 保持更新：定期检查插件更新，以确保你的Passkey认证功能保持最新和安全。

请注意，启用Passkey认证可能需要一定的技术知识，特别是关于服务器配置和插件安装的部分。如果你不熟悉这些操作，可能需要寻求专业的技术支持。

https://cn.wordpress.org/plugins/wp-webauthn

---

WebAuthn（Web Authentication）是一个开放的无密码标准，由万维网联盟（W3C. ��和FIDO联盟共同制定，旨在为用户提供一种更安全、更便捷的网络认证方式。WebAuthn 允许用户使用生物识别技术、智能卡或移动设备等作为认证手段，而不是仅仅依赖传统的用户名和密码。✅

截至2023年，WebAuthn 规范的主要版本是 Level 1，即 WebAuthn Level 1，它在2019年3月成为W3C的官方推荐标准。WebAuthn Level 1 定义了客户端和服务器之间进行无密码认证的流程，包括注册（注册新的认证器）和认证（使用已有的认证器进行认证）两个主要过程。

关于 WebAuthn Level 2 的规范，截至2023年，并没有官方的 Level 2 版本发布。通常，技术规范的更新会通过补丁或小版本迭代来进行，而不是直接跳到 Level 2。WebAuthn 的发展和更新可能会通过一系列的改进提案（如 RFCs）来进行，这些提案会逐步集成到核心规范中。

为了获取最新的WebAuthn规范信息，建议访问W3C官方网站或FIDO联盟的相关资源，查阅最新的文档和公告。

---

https://flyhigher.top/develop/2160.html

---

走进 WebAuthn 的世界：无密码时代的身份认证

随着互联网的发展，传统密码认证方式的安全性越来越让人担忧。幸运的是，WebAuthn 技术的出现让我们看到了希望。WebAuthn 是一种新的身份认证方式，它让我们可以抛弃繁琐的密码，通过更加安全和便捷的方式来进行身份验证。在本文中，我们将一起走进 WebAuthn 的世界，了解它的角色、过程和关键概念。

WebAuthn 认证的四大角色

在 WebAuthn 的认证流程中，有四个重要的角色：

1. 依赖方 (Relying Party, RP)：
   • 这是提供服务的那一方，比如一个网站。
   • 依赖方负责提供注册和登录的接口。
2. 用户 (User)：
   • 也就是你，准备登录网站的那个人。
   • 用户是整个流程的主体，通过生物识别或其他方式进行身份验证。
3. 认证器 (Authenticator)：
   • 认证器可以是 USB Key、设备内置的指纹扫描器、虹膜扫描器、面部识别装置等。
   • 认证器在使用过程中替代了传统的密码。
4. 用户代理 (User Agent)：
   • 通常是浏览器或操作系统。
   • 用户代理负责与认证器交互，帮助完成认证流程。

认证过程：注册和验证

WebAuthn 的认证过程主要分为两个阶段：

1. 注册仪式 (Registration Ceremony)：
   • 这是用户将认证器添加到他们的账户中的过程。
   • 用户在此过程中注册他们的认证器，使其可以在未来进行身份验证。
2. 验证仪式 (Authentication Ceremony)：
   • 用户通过已注册的认证器进行身份验证。
   • 这是用户登录时的过程，通过之前注册的认证器来验证身份。

认证过程中的关键内容

在 WebAuthn 的认证过程中，有一些重要的内容需要理解：

1. 挑战 (Challenge)：
   • 通常是一串随机字符串。
   • 由依赖方生成并发送给用户，以防止重放攻击。
2. 公钥凭证 (Public Key Credential)：
   • 由认证器生成的凭证，技术上代替了密码。
   • 包含公钥和其他必要的信息，用于验证用户身份。
3. 证明 (Attestation)：
   • 注册时认证器产生的验证数据。
   • 用于证明认证器的可靠性和安全性。
4. 断言 (Assertion)：
   • 验证时认证器产生的验证数据。
   • 用于证明用户是注册时的同一个用户。

区分证明和断言

在 WebAuthn 中，“证明 (Attestation)”和“断言 (Assertion)”是两个容易混淆的概念，但它们有着不同的用途：

• 证明 (Attestation)：在注册过程中产生，用于证明认证器的安全性和真实性。
• 断言 (Assertion)：在登录过程中产生，用于证明用户的身份。

总结

WebAuthn 技术为我们带来了更加安全、便捷的身份认证方式。通过了解依赖方、用户、认证器和用户代理这四大角色，以及注册和验证两个过程中的关键内容，我们可以更好地理解和应用 WebAuthn。随着这种无密码身份认证方式的普及，我们的网络生活将变得更加安全和舒适。

让我们一起迎接无密码时代的到来，享受更加安全和便捷的网络体验吧！

---

非对称加密与 WebAuthn 的安全性

在数字时代，密码曾经是我们保护在线身份和隐私的主要工具。然而，随着技术的进步和黑客手段的多样化，传统的密码认证方式变得越来越不可靠。WebAuthn 的出现让我们看到了新的希望，它是一种基于非对称加密的身份认证技术，旨在提供更加安全和便捷的认证体验。

非对称加密的基础

要理解 WebAuthn 的安全性，我们首先需要了解非对称加密的基本概念。非对称加密使用一对密钥，即公钥和私钥。这对密钥有以下特点：

• 公钥 (Public Key)：可以公开给任何人，用于加密信息。
• 私钥 (Private Key)：必须严格保密，用于解密信息。

公钥和私钥是互相关联但几乎无法互相推导的。在这种加密体系中，使用私钥加密的信息只能由对应的公钥解密，反之亦然。

对称加密的局限性

为了更好地理解非对称加密的优势，我们先来看一个对称加密的例子：

假设小明和小红互相写信，但见不到对方。小红想确认给自己写信的人真的是小明，于是他们商量出一套方案：

1. 小明和小红在身份验证的情况下商量一个统一的密码和密钥。
2. 一段时间后，小红要求小明验证身份时，发送一段文本给小明。
3. 小明用商量好的密码和密钥加密文本后发回给小红。
4. 小红使用相同的密码和密钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

这种方法的最大问题在于密钥的交换。如果两人在开始时不能见面，那么他们必须通过某种方式以明文交换密码，一旦密码在传输过程中被窃取，这个认证方法就失效了。

非对称加密解决信任问题

非对称加密完美地解决了密钥泄露的问题。我们再来看小明和小红的例子，这次他们使用非对称加密：

1. 在小明的身份已经验证的情况下，小明生成一对公私钥，将公钥发送给小红，私钥自己保管，同时商量好统一的密码。
2. 一段时间后，小红要求小明验证身份时，发送一段文本给小明。
3. 小明使用商量好的密码和自己的私钥加密文本，发送给小红。
4. 小红使用相同的密码和小明的公钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

在这个过程中，私钥从未离开过小明的手中，也没有经过传输，几乎没有泄露的风险。小红可以通过解密文本确认对方的身份，而无需担心密钥被窃取。

WebAuthn 的安全性

WebAuthn 采用了非对称加密的基本原理来确保用户身份的安全性。具体而言，WebAuthn 的认证过程包括以下步骤：

1. 注册 (Registration)：
   • 用户在依赖方（如网站）注册时，认证器生成一对公私钥，并将公钥发送给依赖方。
   • 私钥保存在认证器中，从不离开设备。
2. 验证 (Authentication)：
   • 用户登录时，依赖方生成一个随机的挑战 (Challenge) 并发送给用户。
   • 认证器使用私钥对挑战进行签名，并将签名发送回依赖方。
   • 依赖方使用事先保存的公钥验证签名，如果验证通过，则表明用户的身份是合法的。

通过这种方式，WebAuthn 确保了认证过程的安全性，因为私钥永远不会被传输或暴露，即使网络通信被截获，攻击者也无法伪造用户的身份。

结论

WebAuthn 的核心在于利用非对称加密技术，通过公钥和私钥的配合，确保认证器生成的凭证是用户的认证器，而非第三方伪造的。这种机制大大提高了身份验证的安全性，解决了传统密码认证方式的诸多问题，让我们的数字生活更加安全和便捷。通过 WebAuthn，我们正迈向一个无密码的安全新时代。

---

非对称加密与 WebAuthn 的安全性

在数字时代，密码曾经是我们保护在线身份和隐私的主要工具。然而，随着技术的进步和黑客手段的多样化，传统的密码认证方式变得越来越不可靠。WebAuthn 的出现让我们看到了新的希望，它是一种基于非对称加密的身份认证技术，旨在提供更加安全和便捷的认证体验。

非对称加密的基础

要理解 WebAuthn 的安全性，我们首先需要了解非对称加密的基本概念。非对称加密使用一对密钥，即公钥和私钥。这对密钥有以下特点：

• 公钥 (Public Key)：可以公开给任何人，用于加密信息。
• 私钥 (Private Key)：必须严格保密，用于解密信息。

公钥和私钥是互相关联但几乎无法互相推导的。在这种加密体系中，使用私钥加密的信息只能由对应的公钥解密，反之亦然。

对称加密的局限性

为了更好地理解非对称加密的优势，我们先来看一个对称加密的例子：

假设小明和小红互相写信，但见不到对方。小红想确认给自己写信的人真的是小明，于是他们商量出一套方案：

1. 小明和小红在身份验证的情况下商量一个统一的密码和密钥。
2. 一段时间后，小红要求小明验证身份时，发送一段文本给小明。
3. 小明用商量好的密码和密钥加密文本后发回给小红。
4. 小红使用相同的密码和密钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

这种方法的最大问题在于密钥的交换。如果两人在开始时不能见面，那么他们必须通过某种方式以明文交换密码，一旦密码在传输过程中被窃取，这个认证方法就失效了。

非对称加密解决信任问题

非对称加密完美地解决了密钥泄露的问题。我们再来看小明和小红的例子，这次他们使用非对称加密：

1. 在小明的身份已经验证的情况下，小明生成一对公私钥，将公钥发送给小红，私钥自己保管，同时商量好统一的密码。
2. 一段时间后，小红要求小明验证身份时，发送一段文本给小明。
3. 小明使用商量好的密码和自己的私钥加密文本，发送给小红。
4. 小红使用相同的密码和小明的公钥解密文本，如果得到的文本和之前发出的一致，就能确定对方是小明。

在这个过程中，私钥从未离开过小明的手中，也没有经过传输，几乎没有泄露的风险。小红可以通过解密文本确认对方的身份，而无需担心密钥被窃取。

WebAuthn 的安全性

WebAuthn 采用了非对称加密的基本原理来确保用户身份的安全性。具体而言，WebAuthn 的认证过程包括以下步骤：

1. 注册 (Registration)：
   • 用户在依赖方（如网站）注册时，认证器生成一对公私钥，并将公钥发送给依赖方。
   • 私钥保存在认证器中，从不离开设备。
2. 验证 (Authentication)：
   • 用户登录时，依赖方生成一个随机的挑战 (Challenge) 并发送给用户。
   • 认证器使用私钥对挑战进行签名，并将签名发送回依赖方。
   • 依赖方使用事先保存的公钥验证签名，如果验证通过，则表明用户的身份是合法的。

通过这种方式，WebAuthn 确保了认证过程的安全性，因为私钥永远不会被传输或暴露，即使网络通信被截获，攻击者也无法伪造用户的身份。

结论

WebAuthn 的核心在于利用非对称加密技术，通过公钥和私钥的配合，确保认证器生成的凭证是用户的认证器，而非第三方伪造的。这种机制大大提高了身份验证的安全性，解决了传统密码认证方式的诸多问题，让我们的数字生活更加安全和便捷。通过 WebAuthn，我们正迈向一个无密码的安全新时代。

---

WebAuthn 注册流程

WebAuthn 的注册流程旨在建立用户、认证器和依赖方（如网站）之间的信任关系。通过这个流程，认证器生成公私钥对，公钥被传递给依赖方以便后续认证使用。以下是详细的注册流程：

1. 用户发起注册请求：
   • 用户在依赖方的注册页面上发起注册请求。依赖方会生成一个注册挑战（challenge），并返回给用户的客户端（通常是浏览器）。
2. 客户端与认证器交互：
   • 客户端将注册挑战发送给用户的认证器（如安全密钥、手机的生物识别系统等）。
3. 认证器生成密钥对：
   • 认证器生成一对公私钥。私钥保存在认证器中，永不离开设备。
   • 同时，认证器生成一个包含公钥和其他元数据（如认证器的标识、使用的加密算法等）的凭证。
4. 用户验证：
   • 认证器要求用户进行验证（如指纹扫描、面部识别或输入 PIN 码），以确保是合法用户在进行注册操作。
5. 返回注册响应：
   • 认证器将公钥和其他相关数据（如认证器 ID、签名等）封装在注册响应中，并返回给客户端。
6. 客户端发送注册响应给依赖方：
   • 客户端将注册响应发送回依赖方服务器。
7. 依赖方验证并存储公钥：
   • 依赖方验证注册响应（例如，检查认证器签名是否有效）。
   • 验证通过后，依赖方会将公钥和其他相关信息与用户账户关联存储起来，以便后续的验证使用。

WebAuthn 注册流程示意图

用户                 依赖方              客户端                   认证器
  |-- 注册请求 -->|                    |                           |
  |               |-- 注册挑战 ------->|                           |
  |               |                    |-- 注册挑战发送给认证器 -->|
  |               |                    |                           |-- 生成密钥对
  |               |                    |                           |-- 用户验证
  |               |                    |<-- 返回注册响应 ---------|
  |               |<-- 注册响应 -------|                           |
  |               |-- 验证并存储公钥 -->|                           |

具体细节

• 注册挑战（challenge）：这是一个随机生成的字符串，用于防止重放攻击。每次注册请求都会生成一个新的挑战。
• 元数据（metadata）：包括认证器的标识、支持的加密算法等。这些信息帮助依赖方了解如何验证响应。
• 签名（signature）：认证器用私钥对注册响应中的数据进行签名，依赖方用公钥验证签名的有效性。

结论

WebAuthn 的注册流程通过非对称加密技术，确保了在注册过程中公私钥的安全生成和存储，防止密钥泄露或被篡改。同时，通过挑战-应答模型和用户验证步骤，WebAuthn 提供了强大的安全保障，为后续的身份验证打下了坚实的基础。接下来，我们可以详细探讨 WebAuthn 的验证流程。

---

WebAuthn 验证流程

WebAuthn 验证流程旨在确保用户的身份真实性，通过基于挑战-应答的模型，使用之前注册时存储的公钥验证用户。以下是详细的验证流程：

1. 用户发起验证请求：
   • 用户在依赖方（如网站）上发起登录请求。依赖方生成一个验证挑战（challenge），并返回给用户的客户端（通常是浏览器）。
2. 依赖方发送挑战：
   • 依赖方将挑战发送给用户的客户端。
3. 客户端与认证器交互：
   • 客户端将验证挑战、依赖方信息（如 Relying Party ID）和客户端信息（如 origin）发送给用户的认证器。
4. 认证器请求用户动作：
   • 认证器提示用户进行验证（如指纹扫描、面部识别或输入 PIN 码）。
   • 用户验证通过后，认证器找到对应的私钥，并使用私钥对挑战进行签名，生成一个签名断言（assertion）。
5. 认证器返回签名断言：
   • 认证器将签名断言连同认证器的元数据（如认证器 ID、计数器值等）返回给客户端。
6. 客户端发送签名断言给依赖方：
   • 客户端将签名断言发送回依赖方服务器。
7. 依赖方验证签名断言：
   • 依赖方使用之前存储的公钥，验证签名断言的有效性。
   • 依赖方检查计数器值是否合理，以防止重放攻击。
   • 如果签名有效且计数器值合理，依赖方确认用户身份验证通过。

WebAuthn 验证流程示意图

用户                 依赖方              客户端                   认证器
  |-- 验证请求 -->|                    |                           |
  |               |-- 验证挑战 ------->|                           |
  |               |                    |-- 验证挑战发送给认证器 -->|
  |               |                    |                           |-- 用户验证
  |               |                    |                           |-- 签名挑战
  |               |                    |<-- 返回签名断言 ---------|
  |               |<-- 签名断言 -------|                           |
  |               |-- 验证签名断言 -->|                           |
  |<-- 验证成功 --|                    |                           |

具体细节

• 验证挑战（challenge）：这是一个随机生成的字符串，用于防止重放攻击。每次验证请求都会生成一个新的挑战。
• 依赖方信息（Relying Party ID）：这是依赖方的标识，用于确保签名是由正确的私钥生成的。
• 客户端信息（origin）：包括客户端的原点信息（URI），用于确保请求的合法性。
• 签名断言（assertion）：认证器用私钥对挑战进行签名生成的断言，包含签名数据和其他元数据。
• 计数器值：认证器维护的计数器，用于防止重放攻击。每次成功验证后计数器都会递增。

结论

WebAuthn 的验证流程通过挑战-应答模型确保了用户身份的真实性。通过非对称加密技术，认证器生成的私钥永不离开设备，极大地提升了安全性。同时，通过用户验证步骤和计数器机制，WebAuthn 提供了强大的防重放攻击能力。这个流程与注册流程相辅相成，确保了从注册到验证的整体安全性和可靠性。

---

https://github.com/topics/webauthn

---