我正在尝试在我的网站上实施 WebAuthn 身份验证。用户可以注册多个身份验证器(例如笔记本电脑、平板电脑、智能手机),并使用每个身份验证器进行登录。所有这些注册的身份验证器都存储在数据库中,这就是我在登录过程中识别用户的方式。
但是,当用户手动删除身份验证器中的网站凭据时,我遇到了问题(例如,您可以进入 iCloud 并删除特定凭据)。在这种情况下,用户无法再次重新注册同一设备(因为在注册过程中服务器指定了
excludeCredentials有办法解决这个问题吗?
但是,当用户手动删除网站时,我遇到了问题 他的身份验证器中的凭据(例如,您可以输入您的 iCloud 并删除特定凭据)。在这种情况下,用户无法 再次重新注册同一设备(因为在注册过程中 进程服务器指定了 exceptCredentials 字段)。
如果凭证不再位于身份验证器中,则它将与排除凭证列表不匹配,并且可以在该身份验证器中再次创建。
此外,用户无法登录该设备上的系统,因为他 删除了凭据,服务器不知道这一点。
大多数身份验证器都会向用户发出警告,删除密钥可能会阻止他们访问其帐户。没有什么可以做的了。