W3C 发布 Web 认证 API 第二版规范的首个公开工作草案

2019年6月4日，W3C Web 认证工作组（Web Authentication Working Group）发布 Web 认证 API 第二版（Web Authentication: An API for accessing Public Key Credentials Level 2）规范的首个公开工作草案（First Public Working Draft）。该规范定义了一个 API，允许通过 Web 应用创建并使用强大的、经过认证的、作用域内的、基于公钥的凭证，从而对用户进行强认证。从概念上讲，每个作用于给定 WebAuthn 依赖方的一个或多个公钥凭证，由 Web 应用程序请求创建并绑定到身份验证器（authenticator）。用户代理（如浏览器等）调节对身份验证器及其公钥凭证的访问，以保护用户隐私。验证器有责任确保在未经用户许可的情况下不进行任何操作。验证器可以通过认证证书（attestation）向信任（依赖）方提供其属性的加密证明。该规范还描述了 WebAuthn 符合验证器的功能模型，包括其签名和认证证书功能。