Home
I'll translate this document into English, later.
This library provides you a way to handle WebAuthn flow easily.
https://www.w3.org/TR/webauthn/
- Token Binding
- Extensions
- BLE Authenticator
- BLE Roaming Service
- ES256
This library force to use resident-key
Beforehand, modify your Info.plist for FaceID permission.
Add Privacy - Face ID Usage Description (NSFaceIDUsageDescription) item, and write your purpose.
At first, compose your client object like following.
import WebAuthnKit
let userConsentUI = UserConsentUI(viewController: self)
let authenticator = InternalAuthenticator(ui: userConsentUI)
self.webAuthnClient = WebAuthnClient(
origin: "https://example.org",
authenticator: authenticator
)Described in following documents,
var options = PublicKeyCredentialCreationOptions()
options.challenge = Bytes.fromHex(challenge) // must be Array<UInt8>
options.user.id = Bytes.fromString(userId) // must be Array<UInt8>
options.user.name = userName
options.user.displayName = displayName
options.user.icon = iconURL
options.rp.id = "https://example.org"
options.rp.name = ""
if let iconURL = self.rpIconURLText.text {
if !iconURL.isEmpty {
options.rp.icon = iconURL
}
}
options.attestation = attestation
options.addPubKeyCredParam(alg: .es256)
options.authenticatorSelection = AuthenticatorSelectionCriteria(
requireResidentKey: requireResidentKey,
userVerification: verification
)
client.create(options).then { credential in
// sent parameters to your server
}.catch { error in
// error handling
}JavaScriptのAPIとほぼ同じように書くことが出来ます。
WebAuthnKitは PromiseKit を採用していて、WebAuthnClient のcreateメソッドはPromiseを返します。
PromiseKitを使った全体の流れは以下のように記述できるでしょう。
firstly {
YourServiceHTTPClient.getRegistrationOptions()
}.then { options in
fidoClient.create(options)
}.then { credential in
YourServiceHTTPClient.postdRegistrationCredential(credential)
}.done { resp
// 登録完了の旨をUIに反映
}.catch { error in
// ...エラー処理
}処理の途中で中断したい場合は以下のようにcancelメソッドを呼びます。
fidoClient.cancel()待機中のPromiseのエラーとして、WAKError.cancelledがディスパッチされます。
認証時も登録時と同じように、ほぼJavaScriptのAPIと同じような書き方が出来ます。
firstly {
YourServiceHTTPClient.getAuthenticationOptions()
}.then { options in
fidoClient.get(options)
}.then { assertion in
YourServiceHTTPClient.postAssertion(assertion)
}.done {
// 認証成功をUIに反映させる
}.catch { error in
// ...エラー処理
}全体の流れが把握できたところで、もう一度最初に戻り、省略した箇所を説明していきます。
let fidoClient = WebAuthnClient(
origin: "https://example.org",
authenticator: authenticator
)WebAuthnClient の初期化にはauthenticatorが必要でした。
WebAuthnKitは2つのtypeのauthenticatorを用意しています。
WebAuthn で利用できるAuthenticatorには、 ClientとAuthenticatorが同じデバイス上で動くタイプであるPlatform Authenticatorと、
Clientが、外部デバイスとしてのAuthenticator(YubiKeyのようなものをイメージしてください)と連動するタイプであるCross-Platform Authenticatorがあります。
WebAuthnKitでは、まずPlatformタイプのInternalAuthenticatorが用意されています。
iOSアプリ自体にClient,Authenticator両方が組み込まれます。鍵情報の保存にはKeyChainを使い、ユーザーの検証にはTouchIDやFaceIDのようなiOS固有の機能を利用します。
WebAuthn のCross-Platform Authenticatorでは以下の3つのトランスポートタイプが定義されています
- USB
- NFC
- BLE(Bluetooth LowEnergy)
iOSの制限もあるため、WebAuthnKitではBLEのみをサポートしています。
WebAuthnにおけるAuthenticatorは鍵の発行や管理、ユーザーのVerificationやPresenceの確認などの責務を持ちます。