实现密钥

另请参阅 passkey 简介

本主题介绍如何跨联机、企业和政府应用程序以及付款实现密钥登录。 你可以实现通行密钥（而不是密码），以便为网站和应用提供用户友好且加密安全的登录 -- 所有由公共 WebAuthn API 提供。

世界各地的消费者服务提供商、企业和政府正从表单身份验证（如密码和短信 OTP）转移到基于密钥的登录。每个组织都有自己的不同用例和业务需求。

passkey 的工作原理

密码使用标准公钥加密技术。 当用户注册到联机服务时，用户的客户端设备将创建绑定到 Web 服务域的新加密密钥对。 设备保留私钥，并将公钥注册到联机服务。 这些加密密钥对（称为密钥）是唯一的，并绑定到联机服务域。

身份验证的工作方式是，用户的设备必须通过提出登录完成的挑战来证明拥有私钥。 在用户通过快速轻松地输入生物识别（例如指纹）或本地 PIN 或 FIDO 安全密钥的触摸在本地设备上批准登录后，将发生这种情况。 登录是通过用户设备和联机服务的质询响应完成的。 该服务看不到或存储私钥。

若要向联机服务注册密钥，请：

• 系统会提示用户创建通行密钥。
• 用户通过本地身份验证方法（例如生物识别）验证密钥创建。
• 用户的设备会创建一个新的公钥/私钥对（一个密钥），该密钥对对于本地设备、联机服务和用户帐户是唯一的。
• 公钥（且 仅 该公钥）发送到联机服务，并与用户帐户相关联。

若要使用密码登录，请执行以下方法：

• 系统会提示用户使用密码登录。
• 用户通过本地身份验证方法（例如生物识别）验证登录密钥。
• 设备使用用户的帐户标识符（由服务提供）来选择正确的密钥，并对服务的质询进行签名。
• 客户端设备将签名质询发送回服务，该服务使用存储的公钥对其进行验证，并让用户登录。

为消费者、企业、政府或付款实现通行密钥

如果你正在考虑实现通行密钥，则本部分适用于你。

如果你不熟悉 FIDO，则我们建议你首先查看 用户身份验证规范概述。 然后，可以在下载身份验证规范中 访问 FIDO 联盟用户身份验证规范的最新版本。

FIDO 认证展示突出了 FIDO 联盟成员及其 FIDO 认证解决方案。 如果要部署 FIDO，这是一个很好的资源。

FIDO 企业部署工作组（EDWG）制定了一系列白皮书，为考虑密钥从中小企业扩展到大型企业的领导和从业者提供指导。 若要了解关键决策点，请参阅 Enterprise。

如果你的字段沿公民服务或政府雇员申请，请参阅 政府。

有关适合通行密钥的付款方案的详细信息，请参阅 “付款”。

后续步骤

接下来，请参阅 通行密钥的设计指南。

更多信息

• passkey 简介
• 用于 Windows 上无密码身份验证的 WebAuthn API
• Passkeys.dev
• FIDO 联盟网站上的无密码旅程 入门