Erweiterte stille Authentifizierung für Webbrowser [Alpha]

Hinweis: Silent Authentication Advanced befindet sich derzeit im Alpha-Stadium. Das Onboarding des Live-Angebots ist noch nicht abgeschlossen, d. h. End-to-End-Tests sind noch nicht möglich. Dieser Leitfaden ist in erster Linie informativ. Sie können die Virtueller Operator für Entwicklungs- und Testzwecke.

In diesem Handbuch wird erklärt, wie man Silent Authentication Advanced in einer Webbrowser-Umgebung mit dem Digitale Berechtigungsnachweise API. Bei diesem Ablauf zeigt der Web-/Desktop-Browser einen QR-Code an, den der Nutzer mit einer mobilen Geldbörse scannt. Die Geldbörse führt den kryptografischen TS.43-Handshake durch und sendet einen verschlüsselten Berechtigungsnachweis an Ihr Backend. Ihr Backend sendet diese Anmeldedaten dann zur Überprüfung an die Vonage Verify API.

Desktop/Laptop-Browser-Fluss: Der Browser zeigt einen QR-Code an, und die Brieftasche nutzt die Bluetooth-Nähe als Teil des nutzervermittelten Verifizierungsflusses.

Mobiler Browserfluss: Es gibt keinen QR-Code-Scan und keine Bluetooth-Näherungsprüfung. Stattdessen:

  • Der Browser startet die digitale Brieftasche und der Nutzer wählt die Zugangsdaten aus, die er freigeben möchte.
  • Die mobile Geldbörse sendet ein verschlüsseltes digitales TS.43-Zertifikat (JWE) direkt an den Browser.
  • Der Browser leitet die Anmeldeinformationen an das ASP-Backend weiter.
  • Das ASP-Backend sendet das TS.43-Token an die Vonage Verify-API, die Folgendes zurückgibt match=true oder match=false.

Zur Umsetzung der Desktop/Laptop-Browserfluss Wie unten beschrieben, müssen Sie die vollständige Integration der Digital Credentials API in Ihrer Webanwendung durchführen. Dazu gehören die Anzeige des QR-Codes, die Kommunikation mit der Brieftasche und die Übermittlung der verschlüsselten Zugangsdaten an Ihr Backend.

Für die Implementierung von Silent Authentication Advanced unter Android lesen Sie bitte die Stille Authentifizierung Erweiterte asynchrone Implementierung Anleitung. Weitere Informationen über Silent Authentication Advanced finden Sie im konzeptionellen Leitfaden auf Stille Authentifizierung Erweitert.

Ablauf der Implementierung

Dieser Abschnitt beschreibt den Ablauf der Digital Credentials API für eine Desktop-/Laptop-Browser Stille Authentifizierung Erweiterte Sitzung.

Mobile WalletVerify APIASP BackendWeb BrowserEnd UserMobile WalletVerify APIASP BackendWeb BrowserEnd User1. Click Verify2. Start verification (customer phone number)2. Retrieve SIM-based auth and transform to OpenID4VP (via webhook)2. Return OpenID4VP digital credential request3. Return digital credential request to device4. navigator.credentials.get (digital credential request)5. Show QR code5. Scan QR code with mobile wallet6. Check Bluetooth proximity6. Return TS.43 encrypted digital credential (JWE)7. Check TS.43 token via Verify API7. Return match = true/false

Schritte

  1. Der Endbenutzer klickt auf Verify im Webbrowser.
  2. Das ASP-Backend (Application Service Provider) ruft die Verify-API auf, um die Verifizierung anhand der Telefonnummer des Kunden zu starten, ruft dann die SIM-basierte Authentifizierungsanfrage ab und wandelt sie über einen Webhook in ein OpenID4VP-Format (OpenID for Verifiable Presentations) um.
  3. Das ASP-Backend sendet die Anfrage nach digitalen Anmeldeinformationen an den Browser zurück.
  4. Der Webbrowser stellt eine Anfrage nach digitalen Anmeldeinformationen durch den Aufruf navigator.credentials.get().
  5. Der Browser zeigt einen QR-Code an, den der Nutzer mit seiner mobilen Geldbörse scannt.
  6. Die mobile Brieftasche verifiziert über Bluetooth, dass sich das Gerät in der Nähe des Browsers befindet und bestätigt, dass die Schlüssel mit denen des QR-Codes übereinstimmen. Anschließend sendet sie einen verschlüsselten digitalen TS.43-Berechtigungsnachweis (JWE - JSON Web Encryption) an das ASP-Backend.
  7. Das ASP-Backend sendet das TS.43-Token an die Verify-API. Das Token bestätigt, dass die Telefonnummer unabhängig von der Bluetooth-Proximity-Prüfung verifiziert ist. Die Verify-API gibt ein match=true oder match=false Ergebnis.

Mögliche Risiken und Abhilfemaßnahmen

In der folgenden Tabelle werden die potenziellen Risiken bei der Implementierung von Silent Authentication Advanced für Webbrowser und die empfohlenen Strategien zur Risikominderung aufgeführt:

Risiko Milderung
Der Browser unterstützt die API für digitale Anmeldeinformationen nicht Rückgriff auf die manuelle Eingabe oder einen Deep Link der nativen App
Mobile Brieftasche unterstützt nicht TS.43 Beschränkung auf zertifizierte Geldbörsen und Aufforderung zum Upgrade
Bluetooth-Ausfall Rückgriff auf NFC oder manuelle Annäherungsbestätigung

Weitere Lektüre