WebAuthn + FIDO2 零基础落地笔记(OAuth 微服务完整接入方案)
本文为 OAuth 微服务接入 WebAuthn 无密码登录的完整落地笔记,整合协议原理、层级关系、数据流、接口设计、业务流程与踩坑点,全程贴合后端开发视角,可直接作为生产接入标准方案。
目标:实现「用户已登录绑定设备凭证」+「WebAuthn 免密登录下发 OAuth Token」完整能力,替代传统密码、验证码登录,提升系统安全性。
核心概念:FIDO2 与 WebAuthn 关系
层级归属关系
FIDO2 是整套无密码认证标准体系,包含两层协议:
- WebAuthn:浏览器 ↔ 后端服务 通信协议(开发者对接的层)
- CTAP2:浏览器 ↔ 认证设备(指纹 / Windows Hello / YubiKey)底层通信协议(开发者无需感知)
FIDO2 = WebAuthn + CTAP2通俗理解
| 协议 | 解决的问题 |
|---|---|
| WebAuthn | 网页、服务端怎么认证 |
| CTAP2 | 浏览器和硬件设备怎么对话 |
业务开发只需对接 WebAuthn 协议即可。
行业主流开发库(生产首选)
| 语言 | 推荐库 | 说明 |
|---|---|---|
| Go | go-webauthn/webauthn | 生态最标准、持续维护 |
| PHP | web-auth/webauthn-framework | 官方级标准库 |
| Node | @simplewebauthn/server | 社区主流方案 |
核心机制:挑战值(Challenge)
挑战值是 WebAuthn 安全的核心,所有注册、认证流程必须依赖。
定义
服务端生成的加密安全随机数,具备一次性、时效性、唯一性。
核心作用
防止重放攻击,保证请求新鲜度。设备签名不是固定的,而是「对本次挑战值签名」,攻击者截获旧签名无法复用登录。
强制规范(生产必须遵守)
- 必须使用加密安全随机数(
crypto/rand/random_bytes) - 一次性使用,验证完成立即销毁
- 服务端 Redis / Session 临时存储,绑定用户
- 有效期 5 分钟以内
关键认知:WebAuthn 的两个「注册」
这是新手最容易混淆的点:
| 类型 | 说明 |
|---|---|
| 业务用户注册 | 注册账号、创建用户信息,和 WebAuthn 无关 |
| WebAuthn 凭证注册(设备绑定) | 不是注册用户,是为「已存在的用户」注册设备公钥凭证;只能在用户已登录状态下触发,用于绑定指纹、硬件密钥 |
完整数据流(FIDO2 全链路)
凭证注册数据流(绑定设备)
用户已登录 OAuth 系统,携带 Token 请求绑定设备
↓
后端生成注册挑战值 + WebAuthn 注册参数
↓
后端 Redis 临时存储挑战值
↓
前端调用 navigator.credentials.create()(WebAuthn)
↓
浏览器通过 CTAP2 和设备通信
↓
设备生成公私钥对,私钥永久留在设备内
↓
设备对挑战值签名,返回注册响应
↓
前端提交完整响应到后端
↓
后端校验挑战值、签名、RPID、Origin
↓
校验通过,存储公钥、凭证 ID、计数器到数据库认证登录数据流(无密码登录)
用户输入账号 / 用户 ID,发起免密登录
↓
后端查询该用户所有绑定的 WebAuthn 凭证
↓
后端生成登录挑战值 + 认证参数
↓
Redis 存储本次登录挑战值
↓
前端调用 navigator.credentials.get()
↓
浏览器通过 CTAP2 唤起设备验证(指纹 / 密钥)
↓
设备使用本地私钥对挑战值签名,生成断言
↓
前端带回签名数据至后端
↓
后端校验:挑战值、签名、RPID、Origin、计数器递增
↓
校验通过 → 更新计数器 → 下发 OAuth AccessToken / RefreshTokenOAuth 微服务标准化接口设计
分为两大模块:设备绑定(凭证注册)、无密码登录(凭证认证)。
模块一:WebAuthn 设备绑定(必须已登录)
| 接口 | 方法 | 请求头 | 作用 |
|---|---|---|---|
/webauthn/registration/options |
POST | Authorization: Bearer Token |
下发挑战值、RP 信息、用户信息,唤起设备注册;Redis 缓存本次注册挑战值 |
/webauthn/registration/verify |
POST | Authorization: Bearer Token |
接收前端完整 credential 注册响应(非单独公钥);校验签名、挑战值、域名,成功后入库公钥、凭证 ID、计数器 |
模块二:WebAuthn 无密码登录(OAuth 登录替代方案)
| 接口 | 方法 | 入参 | 核心逻辑 |
|---|---|---|---|
/webauthn/authentication/options |
POST | user_id / 用户名 |
查询用户凭证列表 → 生成挑战值 → 缓存 → 返回前端 |
/webauthn/authentication/verify |
POST | 前端完整 credential 认证响应 + user_id |
校验挑战值、签名合法性、signCount 计数器递增(防重放);成功后更新凭证计数器 → 生成 OAuth 标准 AccessToken / RefreshToken |
数据库表设计
表名:webauthn_credentials
| 字段 | 说明 |
|---|---|
user_id |
关联 OAuth 用户 |
credential_id |
唯一凭证 ID |
public_key |
设备公钥(永久存储) |
sign_count |
认证计数器(防重放,每次登录更新) |
transports |
设备类型(usb / nfc / internal) |
created_at / updated_at |
创建 / 更新时间 |
生产环境强制安全规则
| 规则 | 说明 |
|---|---|
| HTTPS | 线上必须 HTTPS,仅 localhost 允许 HTTP |
| RPID | 只能是纯域名,不能带端口、协议 |
| 挑战值 | 必须一次性、过期销毁、不可复用 |
| signCount | 必须校验递增,防止重放攻击 |
| 私钥 | 永远不上传、不落地,只存在用户设备 |
| 绑定接口 | 必须校验登录态 Token |
| 挑战值来源 | 禁止前端自由生成,全部由服务端下发 |
| 登录成功 | 必须更新数据库计数器 |
小结
WebAuthn 接入的核心口诀:
- FIDO2 是体系,WebAuthn 是你写代码对接的协议
- 注册 = 绑定设备凭证,不是注册用户
- 挑战值 = 防重放的一次性考题
- 私钥在设备,公钥在服务端
- OAuth 接入核心:绑定需登录态,登录成功下发 Token
扫描二维码,分享此文章