Partager via

Outils et bibliothèques pour les clés d'accès

  • Article

Cette rubrique contient des informations sur les outils et les bibliothèques pour vous aider à implémenter des clés secrètes.

Bibliothèques

Critères de sélection

Si vous souhaitez posséder une authentification sans mot de passe en interne ou si vous souhaitez implémenter une solution clé en main pour les clés secrètes, vous rechercherez probablement des bibliothèques ou des fournisseurs. Lors de la sélection d’une bibliothèque pour implémenter des clés secrètes, que devez-vous en tant que développeur à une partie de confiance (RP) garder un œil ?

Remarque

Un petit ensemble de ces critères n’est pas spécifique aux clés secrètes, mais il est utile de garder à l’esprit lors de la sélection d’une solution open source.

Versions et fonctionnalités WebAuthn

  • Version. Vérifiez la version de la spécification prise en charge par la bibliothèque (niveau 2, niveau 3, etc.).
  • Fonctionnalités et fonctionnalités. Vérifiez si la bibliothèque inclut des fonctionnalités et des fonctionnalités clés pour votre cas d’usage.
    • La bibliothèque permet-elle de générer des options d’inscription et d’authentification ? Est-il utile de vérifier l’inscription et la réponse d’authentification ? Du point de vue de la partie de confiance, il s’agit des étapes clés de votre implémentation. Assurez-vous donc que la bibliothèque que vous sélectionnez fournit des fonctions utiles pour ces étapes.
    • Si vous envisagez d’utiliser des fonctionnalités d’attestation :
      • La bibliothèque aide-t-elle à tirer parti de FIDO MDS d’une certaine manière ?
      • La bibliothèque peut-elle vérifier tous les formats d’instruction d’attestation ?

Étapes de vérification

Vérifiez si la bibliothèque suit les étapes de vérification nécessaires :

  • Pendant l’inscription.
  • Pendant l’authentification.

Interface utilisateur et expérience utilisateur (expérience utilisateur)

Si vous recherchez une bibliothèque qui offre des éléments d’interface utilisateur :

  • Cohérence visuelle. Vérifiez que la solution utilise des icônes standardisées.
  • Effacer la langue. Les instructions utilisant un langage brut sont essentielles pour une compréhension plus large de l’utilisateur. Hiérarchiser les solutions alignées avec les instructions d’expérience utilisateur FIDO.

Expérience développeur

  • Couverture complète de la pile. Une bibliothèque qui offre des composants front-end et back-end étroitement intégrés (par exemple, SimpleWebAuthn) peut simplifier votre intégration.
  • Documentation du développeur. Pour faciliter le processus d’intégration, vérifiez que la bibliothèque dispose d’un site web de documentation géré.

Implication et maintenance des développeurs

  • Maintenance open source. Pour les options open source, examinez leur activité de la communauté. Quelques problèmes actifs ou de nombreux problèmes liés aux étiquettes à jour (en supposant que ceux qui nécessitent une affectation manuelle) et les commentaires des contributeurs sont tous des signaux d’une communauté active.
  • Patience. Les normes peuvent être lentes. Par conséquent, une bibliothèque WebAuthn/passkey peut passer un certain temps entre les mises à jour s’il n’existe aucun problème réel avec celui-ci. Mais cela ne signifie pas que la bibliothèque n’est pas conservée.

Gestion des licences

Passez en revue le modèle de licence de la solution (par exemple, MIT, Apache, commercial) dans le contexte de votre projet.

Mise à jour pour les clés secrètes

Autres bibliothèques FIDO2/WebAuthn

Le dépôt GitHub WebAuthn Awesome est également régulièrement mis à jour avec des bibliothèques de la communauté.

Sites et outils de test

Outre les ressources répertoriées dans les sections ci-dessous, le dépôt GitHub WebAuthn Awesome est également régulièrement mis à jour avec des outils et des démonstrations de la communauté.

Outils FIDO2/WebAuthn de base

Outils FIDO2/WebAuthn avancés

Étapes suivantes

Ensuite, consultez Référence pour les clés secrètes.

Plus d’informations