WebAuthn请求超时在移动设备上的行为与平台限制解析

WebAuthn timeout属性在移动设备上的行为解析

webauthn（web authentication api）为web应用程序提供了一种安全、用户友好的身份验证机制，它允许用户通过生物识别（如指纹、面部识别）或安全密钥进行登录。在webauthn的凭证创建或获取过程中，publickeycredentialcreationoptions 或 publickeycredentialrequestoptions 对象包含一个 timeout 属性，用于指定操作的超时时间（毫秒）。

观察到的问题

开发者在使用 navigator.credentials.create() 或 navigator.credentials.get() 方法时，通常会配置一个 publicKey 对象，其中包含 timeout 字段，如下所示：

const publicKey = {
    "challenge": "testchanllengevalue",
    "rp": { "name": "test.com" },
    "user": {
      "id": "12345-543212-12345-54321",
      "name": "NAME",
      "displayName": "NAME"
    },
    "attestation": "direct",
    "timeout": 20000, // 期望的超时时间为20秒
    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "requireResidentKey": false,
      "userVerification": "required"
    },
    "pubKeyCredParams": [
      { "type": "public-key", "alg": -7 },
      { "type": "public-key", "alg": -257 }
    ]
};

navigator.credentials.create({ 'publicKey': publicKey })
    .then(credential => {
        // 处理凭证
    })
    .catch(error => {
        // 处理错误，包括超时
    });

在桌面浏览器上，这个 timeout 属性通常能按预期工作，即如果用户未能在指定时间内完成身份验证，请求会超时并抛出错误。然而，在某些移动设备上，特别是Android 14之前的版本，用户可能会发现指纹或面部识别请求似乎永远不会超时，即使设置了 timeout 属性。

根本原因：平台服务限制

这种行为差异的根本原因在于底层平台服务的实现。对于Android 14之前的设备，WebAuthn操作通常由Google Play Services处理。然而，Google Play Services在此版本范围内的实现并不支持对WebAuthn请求的超时处理。这意味着，即使RP（依赖方）在 publicKey 对象中明确设置了 timeout 值，Play Services也不会强制执行这个时间限制，导致请求可能会无限期地等待用户交互。

注意事项与最佳实践

鉴于上述平台限制，开发者在设计和实现WebAuthn流程时需要考虑以下几点：

Faceswap

免费开源的AI换脸工具

下载

1. 理解 timeout 属性的实际效果：

   • 在支持该属性的平台上（如桌面浏览器或较新版本的Android），timeout 能够有效限制用户等待时间，提升用户体验。
   • 在不支持该属性的平台上（如Android 14之前的设备），RP不应完全依赖WebAuthn API的内置超时机制来中断操作。

2. WebAuthn规范对 timeout 值的建议： WebAuthn规范（W3C Web Authentication API）对 timeout 值的设置有明确的建议。规范目前建议，对于凭证创建或获取操作，timeout 的最小值应为五分钟（300000毫秒）。示例代码中使用的 20000 毫秒（20秒）通常仅用于演示目的，在实际生产环境中可能过短。

   为什么推荐较长的超时时间？

   • 用户交互时间： 用户可能需要时间找到并激活他们的身份验证器（如指纹传感器、面部识别、外部安全密钥）。
   • 多种认证因素： 在某些情况下，可能需要用户完成多个认证步骤。
   • 网络延迟： 认证器与RP之间的通信可能存在延迟。
   • 用户体验： 过短的超时时间可能导致用户在完成操作前就被中断，造成挫败感。

3. RP端的容错与用户体验优化： 即使WebAuthn API的内置 timeout 在某些移动设备上无效，RP仍然应该有自己的策略来处理长时间未响应的请求。

   • 前端UI提示： 在请求发出后，向用户显示一个加载指示器或友好的提示信息，告知他们正在等待身份验证。
   • 客户端JS计时器： 开发者可以在调用 navigator.credentials.create() 或 get() 之后，在客户端JavaScript中启动一个独立的计时器。如果WebAuthn操作在设定的时间内没有完成（无论是成功还是失败），客户端计时器可以触发一个UI更新，例如显示一个“操作超时，请重试”的消息，或提供备用登录方式。这虽然不能强制中断底层的WebAuthn请求，但可以改善用户界面的响应性。

总结

WebAuthn的 timeout 属性是控制身份验证流程时间的关键参数，但在Android 14之前的移动设备上，由于Google Play Services的实现限制，它可能无法按预期工作。开发者应了解这一平台差异，并遵循WebAuthn规范关于 timeout 值设置的建议（例如，至少五分钟）。同时，结合RP端的容错机制和客户端计时器，可以有效提升跨平台的用户体验，即使在某些不支持内置超时的设备上也能提供合理的反馈。随着Android等移动操作系统的不断演进，未来版本的WebAuthn实现有望提供更一致的超时行为。