什么是 WebAuthn？

www.w3.org/TR/webauthn

WebAuthn 是一个浏览器 API，用于处理用户身份验证，无需输入密码。它不使用密码，而是使用硬件身份验证选项，如 YubiKey 或诸如 TouchID 或 Windows Hello 之类的设备内置硬件。

我可以用 WebAuthn 吗？

WebAuthn 是否取代了 OAuth？

不！事实上，WebAuthn 和 OAuth 配合得很好！虽然 WebAuthn 通常可以取代使用特定第三方 OAuth API 进行身份验证，但 WebAuthn 并不试图解决 OAuth 所解决的问题。

WebAuthn 会对用户进行身份验证，因此，如果这是你使用 OAuth 的全部目的（你不应该这样做），那么你可能不需要 OAuth！但是，如果你正在使用 OAuth 才能访问 API，那么你仍然需要 OAuth，因为这是获得访问令牌的方式。

WebAuthn 可能最终会替代 OAuth 中用户输入密码的步骤，因为 WebAuthn 是密码身份验证的替代方案。但 WebAuthn 不会向应用提供访问令牌以进行 API 请求，因为它并不是为此而设计的。

演示

• webauthn.me
• webauthn.org

文档

• Web 身份验证 API (developer.mozilla.org)

文章

• 通过 WebAuthn 启用强身份验证 - 2019 年 1 月 (developers.google.com)
• Web 身份验证简介：全新的 W3C 规范 - 2018 年 6 月 (auth0.com)
• WebAuthn：开发人员指南，了解即将发生的事情 - 2018 年 4 月 (developer.okta.com)
• Web 身份验证：它的含义以及它对密码的影响 - 2017 年 12 月 (duo.com)

特定于平台的信息

• Windows Hello
• WebKit
• Firefox