具有更改主机名/IP 地址的站点上的 FIDO U2F

【问题标题】:FIDO U2F on a site with changing hostnames/IP addresses具有更改主机名/IP 地址的站点上的 FIDO U2F
【发布时间】:2016-10-25 20:56:33
【问题描述】:

我有一种情况,我想在负载均衡器的管理界面上实现 FIDO U2F(使用 YubiKey),以便登录后,为了管理系统 - U2F 必须用作额外的身份验证层.

在系统的整个生命周期内 - IP 地址和用于访问它的主机名通常会发生变化(例如,一旦它是 https://192.168.0.20/,然后是 https://lb-admin.company.com/,然后是其他东西,等等)。

问题是针对 appId(站点的 URL)注册了一个密钥,然后 appId 在 keyHandle 中编码。有没有办法在注册密钥时允许多个 appId 甚至取消 appId 限制?

换句话说 - 注册一个 YubiKey,然后从网站的任何入口点使用它,或者即使该网站是使用与最初注册密钥的 IP 地址或域不同的域访问的?

【问题讨论】:

    标签: google-chrome authentication two-factor-authentication fido-u2f yubico


    【解决方案1】:

    是的,您可以使用多个子域购买的不同主机名使用已注册的 U2F 密钥...所以它可以是 lb-admin.company.com 和 lb-login.company.com 和whatever.company.com 等等. (不要使用 IP)

    为此,您的 AppId 引用应指向将作为 TrustedFacetList 处理的在线 json 文件。

    真实世界的例子......这是实现此功能的官方 GitHub AppID: https://github.com/u2f/trusted_facets

    此处描述了所有详细信息和规则: FIDO AppID 和 Facet 规范 (FacetID) https://fidoalliance.org/specs/fido-u2f-v1.0-ps-20141009/fido-appid-and-facets-ps-20141009.html

    【讨论】:

    • 问题是已经用旧 App ID 注册的 U2F 密钥在新域中不起作用。所以我们必须请求使用新的 App ID 注册密钥。找不到任何迁移数据的方法。
    猜你喜欢
    • 2023-03-28
    • 2012-02-10
    • 1970-01-01
    • 2014-09-15
    • 1970-01-01
    • 2013-02-26
    • 1970-01-01
    • 2014-12-19
    • 2014-12-02
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode