征集参考实现：W3C发布Web身份验证API第三版规范的候选推荐标准

W3C的Web身份验证工作组（Web Authentication Working Group）发布Web身份验证API第三版（Web Authentication: An API for accessing Public Key Credentials Level 3）规范的候选推荐标准，并征集参考实现。该规范定义了一个API，使web应用能够创建和使用强认证、可证明（attested）、有作用域（scoped）、基于公钥的凭证，以实现对用户的强身份验证。从概念上讲，web应用可以按需创建一个或多个公钥凭证（public key credentials）；每个凭证都限定于特定的WebAuthn信赖方（Relying Party），并由认证器（authenticators）创建并与之绑定（bound）。 用户代理（User Agent）负责在web应用与认证器及其公钥凭证之间进行访问调解，以保护用户隐私。认证器必须确保在未获得用户同意的情况下不执行任何操作。认证器还通过证明（attestation）向信赖方提供其自身属性的密码学证明。 此外，本规范还描述了符合WebAuthn的认证器的功能模型，包括其签名和证明功能。

欢迎2026年2月10日前通过Github issues或发送邮件至public-webauthn@w3.org提交对该规范文档的反馈。