我想限制用户在我的网站上使用 webAuthn 验证凭据的尝试次数。我怎样才能实现这个目标?我可以捕获一些异常来实现此目的吗?或者我可以通过编程方式限制尝试次数吗?
Webauthn 不支持限制重试,因为这通常由 FIDO 的 CTAP 部分处理。根据身份验证器如何处理验证和重试,情况会有很大差异,例如,有些身份验证器在身份验证失败时会进行内部重试,而不响应数据。对于仅实现 CTAP 2.0 的密钥尤其如此。
CTAP 2.1 密钥有更多重试选项,但这始终取决于平台实现,在您的情况下,平台实现是浏览器而不是 Javascript 部分。然后,浏览器引擎决定是否要重试,但是大多数时候,这是根据身份验证器向浏览器引擎提供的信息以及身份验证器希望浏览器重试的次数来完成的。
验证的唯一限制是通过 get 或 create 请求中的
userVerification
完成。
您可以查看用户验证说明了解更多详情