Authentification silencieuse avancée pour les navigateurs Web [Alpha]

Note: Silent Authentication Advanced est actuellement en phase alpha. L'intégration de l'offre en direct est en cours, ce qui signifie qu'il n'est pas encore possible d'effectuer des tests de bout en bout. Ce guide est avant tout informatif. Vous pouvez utiliser l'outil Opérateur virtuel à des fins de développement et de test.

Ce guide explique comment mettre en œuvre l'authentification silencieuse avancée dans un environnement de navigateur web à l'aide de l'option API sur les justificatifs numériques. Dans ce flux, le navigateur web/de bureau affiche un code QR que l'utilisateur scanne à l'aide d'un portefeuille mobile. Le portefeuille effectue la poignée de main cryptographique TS.43 et renvoie un justificatif d'identité crypté à votre backend. Votre backend soumettra ensuite ce justificatif à l'API Verify de Vonage pour vérification.

Flux du navigateur de l'ordinateur de bureau/portable : Le navigateur affiche un code QR et le portefeuille utilise la proximité Bluetooth dans le cadre du flux de vérification médiatisé par l'utilisateur.

Flux des navigateurs mobiles : Il n'y a pas de scan de code QR ni de vérification de la proximité Bluetooth. Au lieu de cela :

  • Le navigateur lance le portefeuille numérique et l'utilisateur sélectionne les informations d'identification à partager.
  • Le portefeuille mobile renvoie un justificatif numérique TS.43 crypté (JWE) directement au navigateur.
  • Le navigateur transmet le justificatif d'identité au backend ASP.
  • Le backend ASP soumet le jeton TS.43 à l'API Verify de Vonage, qui renvoie les informations suivantes match=true ou match=false.

Pour mettre en œuvre le flux du navigateur de l'ordinateur de bureau/portable décrite ci-dessous, vous devez gérer l'intégration complète de l'API Digital Credentials dans votre application web. Cela comprend la gestion de l'affichage du code QR, la communication avec le portefeuille et la transmission de l'identifiant crypté à votre backend.

Pour mettre en œuvre l'authentification silencieuse avancée sur Android, reportez-vous à la section Authentification silencieuse Mise en œuvre asynchrone avancée guide. Pour plus d'informations sur l'authentification silencieuse avancée, reportez-vous au guide conceptuel sur l'authentification silencieuse avancée. Authentification silencieuse avancée.

Flux de mise en œuvre

Cette section décrit le flux de l'API des certificats numériques dans le cas d'une navigateur de bureau / portable Authentification silencieuse Session avancée.

Mobile WalletVerify APIASP BackendWeb BrowserEnd UserMobile WalletVerify APIASP BackendWeb BrowserEnd User1. Click Verify2. Start verification (customer phone number)2. Retrieve SIM-based auth and transform to OpenID4VP (via webhook)2. Return OpenID4VP digital credential request3. Return digital credential request to device4. navigator.credentials.get (digital credential request)5. Show QR code5. Scan QR code with mobile wallet6. Check Bluetooth proximity6. Return TS.43 encrypted digital credential (JWE)7. Check TS.43 token via Verify API7. Return match = true/false

Étapes

  1. L'utilisateur final clique sur Verify dans le navigateur web.
  2. Le backend ASP (Application Service Provider) appelle l'API Verify pour lancer la vérification à l'aide du numéro de téléphone du client, puis récupère la demande d'authentification basée sur la carte SIM et la transforme dans un format OpenID4VP (OpenID for Verifiable Presentations) via un webhook.
  3. Le backend ASP renvoie la demande de justificatif numérique au navigateur.
  4. Le navigateur web fait une demande de justificatif d'identité numérique en appelant navigator.credentials.get().
  5. Le navigateur affiche un code QR que l'utilisateur scanne avec son portefeuille mobile.
  6. Le portefeuille mobile utilise le Bluetooth pour vérifier que l'appareil est physiquement proche du navigateur et confirme que ses clés correspondent à celles du code QR. Il renvoie ensuite un justificatif numérique TS.43 crypté (JWE - JSON Web Encryption) au backend ASP.
  7. Le backend ASP soumet le jeton TS.43 à l'API Verify. Le jeton confirme que le numéro de téléphone est vérifié, indépendamment de la vérification de la proximité Bluetooth. L'API Verify renvoie un code match=true ou match=false résultat.

Risques potentiels et mesures d'atténuation

Le tableau suivant présente les risques potentiels liés à la mise en œuvre de l'authentification silencieuse avancée pour les navigateurs web et les stratégies d'atténuation recommandées :

Risque Atténuation
Le navigateur ne prend pas en charge l'API des justificatifs numériques. Revenir à la saisie manuelle ou au lien profond d'une application native
Le portefeuille mobile n'est pas compatible avec la norme TS.43 Limiter aux portefeuilles certifiés et proposer une mise à niveau rapide
Échec du Bluetooth Revenir à la NFC ou à la confirmation manuelle de la proximité

Pour en savoir plus