웹 인증:
공개 키 자격 증명에 접근하는 API
레벨 2

이 내부 메서드는 세 개의 인자를 받습니다:

origin

이 인자는 호출하는 create() 구현에 의해 결정된 관련 설정 객체의 오리진입니다.

options

이 인자는 CredentialCreationOptions 객체이며, options.publicKey 멤버에 PublicKeyCredentialCreationOptions 객체가 포함되어, 생성할 공개 키 자격 증명의 원하는 속성을 지정합니다.

sameOriginWithAncestors

이 인자는 Boolean 값이며, 호출자의 환경 설정 객체가 상위와 동일 오리진일 때만 true입니다. 교차 오리진인 경우 false입니다.

참고: 이 내부 메서드 호출은 권한 정책에 의해 허용된 경우를 의미하며, 이는 [CREDENTIAL-MANAGEMENT-1] 수준에서 평가됩니다. § 5.9 권한 정책 통합도 참고하세요.

참고: 이 알고리즘은 동기적입니다: Promise resolve/reject 처리는 navigator.credentials.create() 에서 처리됩니다.

참고: 본 알고리즘에서 사용되는 모든 BufferSource 객체는 알고리즘 시작 시 스냅샷(복사본)으로 처리해야 동기화 문제를 피할 수 있습니다. 구현체는 버퍼 소스의 바이트 복사본을 얻어 해당 부분에 사용해야 합니다.

이 메서드가 호출되면, 사용자 에이전트는 다음 알고리즘을 실행해야 합니다:

1. 단언: options.publicKey가 존재함을 확인한다.

2. sameOriginWithAncestors가 false라면, "NotAllowedError" DOMException을 반환한다.

   참고: 이 "sameOriginWithAncestors" 제한은 이슈 #1336에서 제기된 추적(tracking) 우려를 해결하기 위한 것입니다. 향후 명세 버전에서 변경될 수 있습니다.

3. options를 options.publicKey의 값으로 둔다.

4. timeout 멤버가 있을 경우, 그 값이 클라이언트가 정의한 합리적 범위 내에 있는지 검사하고, 범위를 벗어나면 가장 가까운 허용 값으로 수정한다. lifetimeTimer를 수정된 값으로 설정. timeout 멤버가 없다면, lifetimeTimer를 클라이언트별 기본값으로 설정한다.

   아래는 timeout 멤버의 권장 범위 및 기본값입니다. options.authenticatorSelection.userVerification

   discouraged로 설정

   권장 범위: 30000ms ~ 180000ms

   권장 기본값: 120000ms (2분)

   required 또는 preferred로 설정

   권장 범위: 30000ms ~ 600000ms

   권장 기본값: 300000ms (5분)

   참고: 사용자 에이전트는 특수 요구가 있는 사용자를 위한 인지적 가이드라인을 고려해야 합니다.

5. options.user.id 의 길이가 1~64바이트(포함) 사이가 아니면, TypeError를 반환한다.

6. callerOrigin을 origin으로 둔다. callerOrigin이 불투명 오리진이면, DOMException "NotAllowedError"를 반환하고 알고리즘을 종료한다.

7. effectiveDomain을 callerOrigin의 유효 도메인으로 둔다. 유효 도메인이 유효한 도메인이 아니면, DOMException "SecurityError"를 반환하고 알고리즘을 종료한다.

   참고: 유효 도메인은 호스트로 해석될 수 있으며, 도메인, IPv4 주소, IPv6 주소, 불투명 호스트, 빈 호스트 등 여러 형태가 있습니다. 여기서는 도메인 형식만 허용합니다. 이는 단순화 및 PKI 기반 보안과 IP 주소 직접 사용의 여러 문제를 고려한 것입니다.

8. 만약 options.rp.id

   존재함

   만약 options.rp.id 등록 가능한 도메인 접미사이거나 동일하지 않으면 effectiveDomain과, DOMException 이름이 "SecurityError"인 예외를 반환하고 알고리즘을 종료한다.

   존재하지 않음

   options.rp.id 를 effectiveDomain으로 설정한다.

   참고: options.rp.id 은 호출자의 RP ID를 나타냅니다. RP ID는 기본적으로 호출자의 origin의 effective domain으로 설정되며, 호출자가 명시적으로 options. rp.id 값을 설정하지 않은 경우에 해당합니다. 만약 create()를 호출할 때 명시적으로 값을 설정했다면 그 값이 사용됩니다.

9. credTypesAndPubKeyAlgs를 리스트로 새로 만들고, 항목은 PublicKeyCredentialType 과 COSEAlgorithmIdentifier의 쌍으로 한다.

10. options.pubKeyCredParams의 크기

    0인 경우

    아래 쌍을 credTypesAndPubKeyAlgs에 추가한다:

    • public-key 와 -7("ES256")

    • public-key 와 -257("RS256")

    0이 아닌 경우

    각 current에 대해 options.pubKeyCredParams:

    1. current.type 이 현재 구현에서 지원하는 PublicKeyCredentialType을 포함하지 않으면, continue한다.

    2. alg를 current.alg로 둔다.

    3. 현재 쌍 current.type 와 alg를 credTypesAndPubKeyAlgs에 추가한다.

    만약 credTypesAndPubKeyAlgs가 비어 있다면, DOMException 이름이 "NotSupportedError"인 예외를 반환하고 알고리즘을 종료한다.

11. clientExtensions를 새 맵으로, authenticatorExtensions도 새 맵으로 둔다.

12. extensions 멤버가 options에 존재하면, 각 extensionId → clientExtensionInput에 대해 options.extensions:

    1. extensionId가 해당 클라이언트 플랫폼에서 지원되지 않거나 등록 확장이 아니면 continue한다.

    2. clientExtensions[extensionId]를 clientExtensionInput로 설정한다.

    3. extensionId가 인증기 확장이 아니면 continue한다.

    4. authenticatorExtensionInput을 extensionId의 클라이언트 확장 처리 알고리즘을 clientExtensionInput에 대해 실행한 결과(CBOR)로 둔다. 알고리즘이 오류를 반환하면 continue한다.

    5. authenticatorExtensions[extensionId]를 base64url 인코딩한 authenticatorExtensionInput로 설정한다.

13. collectedClientData를 CollectedClientData 인스턴스로 새로 만들고, 필드는 다음과 같다:

    type

    문자열 "webauthn.create"

    challenge

    options.challenge의 base64url 인코딩

    origin

    callerOrigin의 직렬화

    crossOrigin

    이 내부 메서드에 전달된 sameOriginWithAncestors 인자의 반대 값

    tokenBinding

    callerOrigin과 클라이언트 간의 토큰 바인딩 상태와, 토큰 바인딩 ID가 있을 경우 callerOrigin에 연결된 값

14. clientDataJSON을 collectedClientData로부터 생성된 클라이언트 데이터의 JSON 호환 직렬화로 둔다.

15. clientDataHash를 clientDataJSON이 나타내는 직렬화된 클라이언트 데이터의 해시로 둔다.

16. options.signal 이 존재하고 aborted flag가 true일 경우, DOMException 이름이 "AbortError" 인 예외를 반환하고 알고리즘을 종료한다.

17. issuedRequests를 새로운 순서가 있는 집합으로 둔다.

18. authenticators를 특정 시점에 집합으로 표현하고, 각 항목은 해당 시점에 이 클라이언트 플랫폼에서 사용 가능한 인증기를 식별한다.

    참고: 어떤 인증기가 "사용 가능"으로 간주되는지는 의도적으로 명시되지 않았으며, 이는 인증기가 USB 등으로 핫플러그되거나(NFC, 블루투스 등으로 검색), 클라이언트에 내장되는 등 다양한 방식으로 동작하기 때문임.

19. lifetimeTimer를 시작한다.

20. lifetimeTimer가 만료되지 않은 동안, lifetimeTimer 및 authenticators의 각 authenticator의 상태/응답에 따라 다음 작업을 수행한다:

    만약 lifetimeTimer가 만료되면,

    issuedRequests의 각 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다.

    사용자가 사용자 에이전트 UI 옵션으로 프로세스를 취소한 경우,

    issuedRequests의 각 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다. 그리고 DOMException 이름이 "NotAllowedError"인 예외를 반환한다.

    options.signal 이 존재하고 aborted flag가 true인 경우

    issuedRequests의 각 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다. 그리고 DOMException 이름이 "AbortError"인 예외를 반환하고 알고리즘을 종료한다.

    클라이언트 디바이스(client device)에 authenticator가 사용 가능 상태가 된 경우,

    참고: 이는 lifetimeTimer 시작 시 authenticator가 이미 사용 가능했던 경우도 포함한다.

    1. 이 authenticator는 후보 인증기가 된다.

    2. options.authenticatorSelection 이 존재한다면:

       1. options.authenticatorSelection.authenticatorAttachment 이 존재하고 값이 authenticator의 인증기 부착 방식과 다르면, continue한다.

       2. options.authenticatorSelection.residentKey

          존재하며 required로 설정된 경우

          만약 authenticator가 클라이언트 측 검색 가능한 공개 키 자격 증명 소스 저장을 지원하지 않으면, continue한다.

          존재하며 preferred 또는 discouraged로 설정된 경우

          영향 없음.

          존재하지 않는 경우

          options.authenticatorSelection.requireResidentKey 이 true로 설정되어 있고 authenticator가 클라이언트 측 검색 가능한 공개 키 자격 증명 소스 저장을 지원하지 않는 경우, continue한다.

       3. options.authenticatorSelection.userVerification 이 required로 설정되어 있고 authenticator가 사용자 검증을 지원하지 않으면, continue한다.

    3. requireResidentKey는 자격 증명 생성의 실질적 resident key 요구사항으로, Boolean 값이며 다음과 같다:

       options.authenticatorSelection.residentKey

       존재하며 required로 설정된 경우

       requireResidentKey를 true로 둔다.

       존재하며 preferred로 설정된 경우

       authenticator

       클라이언트 측 자격 증명 저장 방식을 지원함

       requireResidentKey를 true로 둔다.

       지원하지 않거나 클라이언트가 인증기 기능을 확인할 수 없음

       requireResidentKey를 false로 둔다.

       존재하며 discouraged로 설정된 경우

       requireResidentKey를 false로 둔다.

       존재하지 않는 경우

       options.authenticatorSelection.requireResidentKey의 값을 requireResidentKey로 둔다.

    4. userVerification는 자격 증명 생성의 실질적 사용자 검증 요구사항으로, Boolean 값이며 다음과 같다. options.authenticatorSelection.userVerification

       required로 설정된 경우

       userVerification를 true로 둔다.

       preferred로 설정된 경우

       authenticator

       사용자 검증을 지원함

       userVerification를 true로 둔다.

       지원하지 않음

       userVerification를 false로 둔다.

       discouraged로 설정된 경우

       userVerification를 false로 둔다.

    5. enterpriseAttestationPossible는 Boolean 값이며, 아래와 같다. options.attestation

       enterprise로 설정된 경우

       사용자 에이전트가 해당 options.rp.id에 대해 엔터프라이즈 보증을 지원하고자 한다면 true, 아니면 false.

       그 외의 경우

       enterpriseAttestationPossible를 false로 둔다.

    6. excludeCredentialDescriptorList를 새 리스트로 둔다.

    7. excludeCredentials의 각 credential descriptor C에 대해:

       1. C.transports 가 비어 있지 않고, authenticator가 해당 transport에 연결되어 있지 않으면 클라이언트는 continue 할 수 있다.

          참고: 클라이언트가 continue를 선택할 경우, C.transports 힌트가 부정확하다면 동일 인증기에 여러 자격 증명이 등록될 수 있다. 예를 들면, 소프트웨어 업그레이드로 연결 옵션이 추가되어 힌트가 부정확해질 수 있다.

       2. 그 외의 경우 excludeCredentialDescriptorList에 C를 추가한다.

       3. authenticator에 대해 authenticatorMakeCredential 작업을 clientDataHash, options.rp, options.user, requireResidentKey, userVerification, credTypesAndPubKeyAlgs, excludeCredentialDescriptorList, enterpriseAttestationPossible, authenticatorExtensions를 인자로 호출한다.

    8. issuedRequests에 authenticator를 추가한다.

    클라이언트 디바이스(client device)에서 authenticator가 사용 불가 상태가 된 경우,

    issuedRequests에서 authenticator를 제거한다.

    어떤 authenticator가 사용자가 작업을 취소했다는 상태를 반환한 경우,

    1. issuedRequests에서 authenticator를 제거한다.

    2. issuedRequests의 남은 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다.

       참고: 인증기는 "사용자가 전체 작업을 취소함"을 명시적으로 반환할 수 있다. 사용자 에이전트가 사용자에게 이 상태를 어떻게 보여줄지는 명세에 포함되지 않음.

    어떤 authenticator가 "InvalidStateError"와 동등한 오류 상태를 반환한 경우,

    1. issuedRequests에서 authenticator를 제거한다.

    2. issuedRequests의 남은 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다.

    3. DOMException 이름이 "InvalidStateError"인 예외를 반환하고 알고리즘을 종료한다.

    참고: 이 오류 상태는 별도로 처리되는데, authenticator가 excludeCredentialDescriptorList가 authenticator에 바인딩된 자격 증명을 식별하고 사용자가 작업에 동의했을 때만 반환하기 때문이다. 명시적 동의가 있으므로 이 경우는 신뢰 당사자에게 구분되어도 된다.

    어떤 authenticator가 "InvalidStateError"와 동등하지 않은 오류 상태를 반환한 경우,

    issuedRequests에서 authenticator를 제거한다.

    참고: 이 경우 작업에 대한 사용자 동의가 없으므로, 오류 세부 정보는 신뢰 당사자에게 노출되지 않음. 자세한 내용은 § 14.5.1 등록 절차 프라이버시 참조.

    어떤 authenticator가 성공을 반환한 경우,

    1. issuedRequests에서 authenticator를 제거한다. 이 인증기는 선택된 인증기가 된다.

    2. credentialCreationData를 구조체로 두고, 항목은 다음과 같다:

       attestationObjectResult

       값은 성공적으로 authenticatorMakeCredential 작업에서 반환된 바이트이다.

       참고: 이 값은 attObj로, § 6.5.4 보증 객체 생성에서 정의됨.

       clientDataJSONResult

       값은 clientDataJSON의 바이트이다.

       attestationConveyancePreferenceOption

       값은 options.attestation의 값이다.

       clientExtensionResults

       값은 AuthenticationExtensionsClientOutputs 객체이며, 확장 식별자 → 클라이언트 확장 출력 엔트리가 들어 있다. 각 확장의 클라이언트 확장 처리 알고리즘을 실행해 클라이언트 확장 출력을 만들고, 클라이언트 확장이 options.extensions에 들어 있을 때만 해당.

    3. constructCredentialAlg는 global object global을 인자로 받아 다음 단계로 동작하는 알고리즘으로 둔다:

       1. credentialCreationData.attestationConveyancePreferenceOption 값이

          "none"

          잠재적으로 고유 식별 가능한 정보를 비식별 버전으로 대체한다:

          1. AAGUID가 attested credential data에 있고 값이 16바이트 0이며, credentialCreationData.attestationObjectResult.fmt 가 "packed"이고, "x5c"가 credentialCreationData.attestationObjectResult에 없으면 self attestation이며 추가 조치 없음.

          2. 그 외의 경우

             1. AAGUID를 attested credential data에서 16바이트 0으로 대체한다.

             2. credentialCreationData.attestationObjectResult.fmt 를 "none"으로, credentialCreationData.attestationObjectResult.attStmt를 빈 CBOR 맵으로 설정한다. (자세한 내용은 § 8.7 none 보증 서명 형식 및 § 6.5.4 보증 객체 생성 참고)

          "indirect"

          클라이언트는 AAGUID 및 보증 서명을 더 프라이버시 친화적이거나 검증이 쉬운 버전(예시로 익명화 CA 활용)으로 대체할 수 있다.

          "direct" 또는 "enterprise"

          인증기의 AAGUID 및 보증 서명을 변경 없이 신뢰 당사자로 전달한다.

       2. attestationObject를 ArrayBuffer로 새로 만들고, global의 %ArrayBuffer% 생성자를 사용하며, credentialCreationData.attestationObjectResult의 바이트를 담는다.

       3. id를 attestationObject.authData.attestedCredentialData.credentialId로 둔다.

       4. pubKeyCred를 PublicKeyCredential 객체로 새로 만들고, global에 연결하며, 속성은 다음과 같다:

          [[identifier]]

          id

          response

          AuthenticatorAttestationResponse 객체로 새로 만들고, global에 연결하며, 속성은 다음과 같다:

          clientDataJSON

          global의 %ArrayBuffer%를 사용해 credentialCreationData.clientDataJSONResult의 바이트로 새 ArrayBuffer를 만든다.

          attestationObject

          attestationObject

          [[transports]]

          0개 이상 고유 DOMString 시퀀스(사전순)로, authenticator가 지원하는 것으로 추정됨. 값은 AuthenticatorTransport 멤버여야 하나, 클라이언트 플랫폼은 알 수 없는 값은 무시해야 함.

          사용자 에이전트가 이 정보를 공개하고 싶지 않으면 프라이버시 보호를 위한 임의 시퀀스를 사용할 수 있음. 시퀀스는 반드시 유효해야 하며(사전순, 중복 없음), 예로 빈 시퀀스를 사용할 수 있음. 이 경우 신뢰 당사자 동작이 최적화되지 않을 수 있음.

          transport 정보를 알 수 없을 경우 빈 시퀀스로 설정해야 함.

          참고: 사용자 에이전트가 인증기가 지원하는 transport를 어떻게 파악하는지는 명세 범위 밖이나, 보증 인증서(예: [FIDO-Transports-Ext]), 인증기 프로토콜(CTAP2 등) 메타데이터, 혹은 플랫폼 인증기에 대한 특수 지식 등이 있을 수 있음.

          [[clientExtensionsResults]]

          global의 %ArrayBuffer%를 사용해 credentialCreationData.clientExtensionResults의 바이트로 새 ArrayBuffer를 만든다.

       5. pubKeyCred를 반환한다.

    4. issuedRequests의 남은 authenticator에 대해 authenticatorCancel 작업을 실행하고 issuedRequests에서 제거한다.

    5. constructCredentialAlg를 반환하고 알고리즘을 종료한다.

21. DOMException 이름이 "NotAllowedError"인 예외를 반환한다. 사용자 동의 없이 사용자를 식별할 수 있는 정보 유출을 막기 위해, 이 단계는 반드시 lifetimeTimer 만료 전에는 실행하지 않아야 한다. 자세한 내용은 § 14.5.1 등록 절차 프라이버시 참고.

위 과정 동안, 사용자 에이전트는 인증기 선택 및 권한 부여 과정을 사용자에게 안내하는 UI를 보여주는 것이 바람직하다.

이 내부 메서드는 세 개의 인자를 받습니다:

origin

이 인자는 호출 get() 구현체가 결정한 관련 설정 객체의 origin입니다. 즉, CredentialsContainer의 자격 증명 요청 추상 연산에서 결정됩니다.

options

이 인자는 CredentialRequestOptions 객체이며, options.publicKey 멤버에는 PublicKeyCredentialRequestOptions 객체가 포함되어 있으며, 발견하려는 공개키 자격 증명의 속성을 지정합니다.

sameOriginWithAncestors

이 인자는 Boolean 값이며, 호출자의 환경 설정 객체가 상위와 동일 origin일 때만 true입니다. cross-origin일 경우 false입니다.

참고: 이 내부 메서드가 호출되었다는 것은 권한 정책에 의해 허용되었음을 의미하며, 이는 [CREDENTIAL-MANAGEMENT-1] 수준에서 평가됩니다. 자세한 내용은 § 5.9 권한 정책 통합을 참조하세요.

참고: 이 알고리즘은 동기적입니다: Promise 의 resolve/reject는 navigator.credentials.get() 에서 처리됩니다.

참고: 본 알고리즘에서 사용하는 모든 BufferSource 객체는 동기화 문제를 방지하기 위해 알고리즘 시작 시 스냅샷을 떠야 합니다. 구현체는 버퍼 소스의 바이트 복사본을 가져와 알고리즘 관련 부분에서 해당 복사본을 사용해야 합니다.

이 메서드가 호출되면, 사용자 에이전트는 다음 알고리즘을 반드시 실행해야 합니다:

1. 단언: options.publicKey 가 존재해야 한다.

2. options을 options.publicKey 의 값으로 할당한다.

3. options의 timeout 멤버가 존재한다면, 그 값이 클라이언트에서 정의한 허용 범위 내에 있는지 확인하고, 범위를 벗어나면 가장 가까운 범위 내 값으로 조정한다. lifetimeTimer를 이 조정된 값으로 설정한다. timeout 멤버가 존재하지 않으면 lifetimeTimer를 클라이언트별 기본값으로 설정한다.

   timeout 멤버에 대한 권장 범위 및 기본값은 아래와 같다. 만약 options.userVerification

   가 discouraged로 설정된 경우

   권장 범위: 30,000밀리초 ~ 180,000밀리초.

   권장 기본값: 120,000밀리초 (2분).

   가 required 또는 preferred로 설정된 경우

   권장 범위: 30,000밀리초 ~ 600,000밀리초.

   권장 기본값: 300,000밀리초 (5분).

   참고: 사용자 에이전트는 특수 요구가 있는 사용자의 timeout에 대해 인지적 가이드라인을 고려해야 한다.

4. callerOrigin을 origin으로 할당한다. callerOrigin이 불투명 origin이라면, 이름이 "NotAllowedError"인 DOMException을 반환하고 알고리즘을 종료한다.

5. effectiveDomain을 callerOrigin의 effective domain으로 할당한다. effective domain이 유효한 domain이 아니면, 이름이 "SecurityError"인 DOMException을 반환하고 알고리즘을 종료한다.

   참고: effective domain은 호스트로 해석될 수 있으며, 도메인, ipv4 주소, ipv6 주소, 불투명 호스트, 빈 호스트 등 다양한 방식으로 표현될 수 있다. 여기서는 도메인 형식의 호스트만 허용된다. 이는 단순화와 PKI 기반 보안에서 직접 IP 주소 사용의 여러 문제를 인지한 결과이다.

6. options.rpId 가 존재하지 않으면, rpId를 effectiveDomain으로 할당한다.

   그 외의 경우:

   1. options.rpId 가 effectiveDomain의 등록 가능 도메인 접미사 또는 동일하지 않으면 이름이 "SecurityError"인 DOMException을 반환하고 알고리즘을 종료한다.

   2. rpId를 options.rpId로 설정한다.

      참고: rpId는 호출자의 RP ID를 나타낸다. RP ID는 기본적으로 호출자의 origin의 effective domain이며, 호출자가 options.rpId를 명시적으로 지정한 경우 그 값이 사용된다.

7. clientExtensions을 새로운 맵으로, authenticatorExtensions도 새로운 맵으로 생성한다.

8. options의 extensions 멤버가 존재하면, 각 extensionId → clientExtensionInput에 대해 options.extensions:

   1. extensionId가 해당 클라이언트 플랫폼에서 지원되지 않거나 인증 확장이 아니면, 계속한다.

   2. clientExtensions[extensionId]에 clientExtensionInput을 할당한다.

   3. extensionId가 인증기 확장이 아니면 계속한다.

   4. authenticatorExtensionInput을 (CBOR) extensionId의 클라이언트 확장 처리 알고리즘을 clientExtensionInput에 대해 실행한 결과로 할당한다. 오류가 반환되면 계속한다.

   5. Set authenticatorExtensions[extensionId]를 base64url 인코딩된 authenticatorExtensionInput으로 설정한다.

9. collectedClientData를 새로운 CollectedClientData 인스턴스로 생성하며, 필드는 다음과 같다:

   type

   문자열 "webauthn.get".

   challenge

   options.challenge의 base64url 인코딩 값

   origin

   callerOrigin의 ASCII 직렬화 값

   crossOrigin

   이 내부 메서드로 전달된 sameOriginWithAncestors 인자의 반대 값

   tokenBinding

   클라이언트와 callerOrigin 사이의 Token Binding 상태와, callerOrigin에 연결된 Token Binding ID (있다면)

10. clientDataJSON을 collectedClientData로 구성된 클라이언트 데이터의 JSON 호환 직렬화 값으로 할당한다.

11. clientDataHash를 clientDataJSON의 직렬화된 클라이언트 데이터의 해시 값으로 할당한다.

12. options.signal 이 존재하고, 그 aborted flag가 true로 설정되어 있으면, 이름이 "AbortError"인 DOMException을 반환하고 알고리즘을 종료한다.

13. issuedRequests를 새로운 순서 있는 집합으로 생성한다.

14. savedCredentialIds를 새로운 맵으로 생성한다.

15. authenticators는 임의 시점에 집합으로, 각 항목이 해당 시점에서 클라이언트 플랫폼에 존재하는 인증기를 식별하는 핸들임을 나타낸다.

    참고: 인증기가 "사용 가능"하다는 조건은 명시적으로 정의되지 않는다. 이는 인증기가 USB 등으로 hot-plug되거나 NFC, Bluetooth 등으로 발견되거나, 클라이언트에 영구적으로 내장된 경우 등 다양한 메커니즘을 고려한다.

16. lifetimeTimer를 시작한다.

17. lifetimeTimer가 만료되지 않을 동안, lifetimeTimer, 상태 및 각 authenticator의 응답에 따라 다음 동작을 수행한다:

    lifetimeTimer가 만료된 경우

    각 authenticator에 대해 issuedRequests에 대해 authenticatorCancel을 호출하고, issuedRequests에서 제거한다.

    사용자가 사용자 에이전트 UI 옵션을 통해 프로세스를 취소한 경우

    각 authenticator에 대해 issuedRequests에 대해 authenticatorCancel을 호출하고, issuedRequests에서 제거한다. 그리고 이름이 "NotAllowedError"인 DOMException을 반환한다.

    signal 멤버가 존재하고 aborted flag가 true인 경우

    각 authenticator에 대해 issuedRequests에 대해 authenticatorCancel을 호출하고, issuedRequests에서 제거한다. 그리고 이름이 "AbortError"인 DOMException을 반환하고 알고리즘을 종료한다.

    issuedRequests가 비어 있고, options.allowCredentials 가 비어 있지 않으며, 해당 공개키 자격 증명에 대해 이용 가능한 authenticator가 없는 경우

    사용자에게 적합한 자격 증명을 찾을 수 없음을 알린다. 사용자가 다이얼로그를 확인하면, 이름이 "NotAllowedError"인 DOMException을 반환한다.

    참고: 클라이언트 플랫폼이 이용 가능한 authenticator가 없음을 판단하는 한 가지 방법은, 현재 있는 transports 멤버를 검토하는 것이다. 예를 들어, 모든 PublicKeyCredentialDescriptor 항목이 internal만 나열하고, 모든 플랫폼 authenticator가 이미 시도되었다면, 요청을 만족시킬 가능성이 없다. 또는 모든 PublicKeyCredentialDescriptor 항목이 클라이언트 플랫폼에서 지원하지 않는 transports만 나열할 수도 있다.

    어떤 authenticator가 해당 클라이언트 디바이스에서 사용 가능해진 경우

    참고: 이는 lifetimeTimer 시작 시 이미 사용 가능하던 authenticator도 포함한다.

    1. options.userVerification 이 required로 설정되어 있고 authenticator가 사용자 확인을 지원하지 않으면, 계속한다.

    2. userVerification을 어서션을 위한 실효 사용자 확인 요구사항이라는 Boolean 값으로 할당한다. 만약 options.userVerification

       required로 설정된 경우

       userVerification을 true로 설정한다.

       preferred로 설정된 경우

       authenticator

       사용자 확인을 지원하는 경우

       userVerification을 true로 설정한다.

       사용자 확인을 지원하지 않는 경우

       userVerification을 false로 설정한다.

       discouraged로 설정된 경우

       userVerification을 false로 설정한다.

    3. options.allowCredentials

       가 비어 있지 않은 경우

       1. allowCredentialDescriptorList를 새로운 리스트로 생성한다.

       2. 클라이언트 플랫폼별 절차를 실행하여, options.allowCredentials 에서 기술된 공개키 자격 증명 중 authenticator에 바인딩된 것을 rpId, options.allowCredentials.id, options.allowCredentials.type 으로 필터링한다. allowCredentialDescriptorList를 이 결과로 설정한다.

       3. allowCredentialDescriptorList가 비어 있으면, 계속한다.

       4. distinctTransports를 새로운 순서 있는 집합으로 생성한다.

       5. allowCredentialDescriptorList가 정확히 하나의 값을 가지면, savedCredentialIds[authenticator] 를 allowCredentialDescriptorList[0].id의 값으로 설정한다 (자세한 내용은 여기 및 § 6.3.3 authenticatorGetAssertion 작업 참조).

       6. 각 credential descriptor C에 대해, allowCredentialDescriptorList에서 각 값(있는 경우)을 C.transports 에서 distinctTransports에 추가한다.

          참고: 이는 순서 있는 집합 특성으로 인해, transports 의 중복 없는 값들만 distinctTransports에 집계된다.

       7. distinctTransports

          가 비어 있지 않은 경우

          클라이언트는 distinctTransports 중 하나를 선택하며, authenticator에 적합한 전송 방식을 로컬 설정에 따라 선정할 수 있다.

          선택한 transport를 이용해 authenticator에 대해 authenticatorGetAssertion 작업을 rpId, clientDataHash, allowCredentialDescriptorList, userVerification, authenticatorExtensions을 인자로 호출한다.

          가 비어 있는 경우

          클라이언트는 authenticator에 적합한 전송 방식을 로컬 설정에 따라 선정하여, authenticatorGetAssertion 작업을 rpId, clientDataHash, allowCredentialDescriptorList, userVerification, authenticatorExtensions을 인자로 호출한다.

       가 비어 있는 경우

       클라이언트는 authenticator에 적합한 전송 방식을 로컬 설정에 따라 선정하여, authenticatorGetAssertion 작업을 authenticator에 대해 rpId, clientDataHash, userVerification, authenticatorExtensions을 인자로 호출한다.

       참고: 이 경우, Relying Party가 허용되는 자격 증명 descriptor 리스트를 제공하지 않았다. 따라서 인증기는 자신이 가지고 있는 scope가 rpId로 식별되는 Relying Party에 바인딩된 자격 증명을 모두 검사하도록 요청받는다.

    4. authenticator를 issuedRequests에 추가한다.

    어떤 authenticator가 해당 클라이언트 디바이스에서 더 이상 사용 가능하지 않은 경우

    authenticator를 issuedRequests에서 제거한다.

    어떤 authenticator가 사용자가 작업을 취소했다는 상태를 반환한 경우

    1. authenticator를 issuedRequests에서 제거한다.

    2. 남은 authenticator에 대해 issuedRequests에서 authenticatorCancel을 호출하고, issuedRequests에서 제거한다.

       참고: 인증기는 "사용자가 전체 작업을 취소했다"는 신호를 반환할 수 있다. 사용자 에이전트가 이 상태를 사용자에게 어떻게 보여줄지는 정의되어 있지 않다.

    어떤 authenticator가 오류 상태를 반환한 경우

    authenticator를 issuedRequests에서 제거한다.

    어떤 authenticator가 성공 상태를 반환한 경우

    1. authenticator를 issuedRequests에서 제거한다.

    2. assertionCreationData를 struct로 생성하고, 각 항목은 다음과 같다:

       credentialIdResult

       savedCredentialIds[authenticator] 가 존재하면, credentialIdResult 값을 savedCredentialIds[authenticator]의 바이트로 설정한다. 그렇지 않으면, credentialIdResult 값을 성공한 authenticatorGetAssertion 작업에서 반환된 credential ID의 바이트로 설정한다. (자세한 내용은 § 6.3.3 authenticatorGetAssertion 작업 참조)

       clientDataJSONResult

       값은 clientDataJSON의 바이트.

       authenticatorDataResult

       값은 authenticator data의 바이트로, authenticator가 반환.

       signatureResult

       값은 authenticator가 반환한 서명 값의 바이트.

       userHandleResult

       authenticator가 user handle을 반환했다면, userHandleResult 값을 반환된 user handle의 바이트로 설정한다. 그렇지 않으면 userHandleResult 값을 null로 설정한다.

       clientExtensionResults

       값은 AuthenticationExtensionsClientOutputs 객체로, extension identifier → client extension output 항목을 가진다. 각 항목은 options.extensions 에 포함된 각 클라이언트 확장에 대해 클라이언트 확장 처리 알고리즘을 실행하여 생성한다.

    3. constructAssertionAlg를 글로벌 오브젝트 global을 인자로 받아 다음 절차를 수행하는 알고리즘으로 할당한다:

       1. pubKeyCred를 PublicKeyCredential 객체로 생성하며, global에 연결된 다음 필드를 가진다:

          [[identifier]]

          새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.credentialIdResult의 바이트를 담는다.

          response

          새로운 AuthenticatorAssertionResponse 객체로, global에 연결된 다음 필드를 가진다:

          clientDataJSON

          새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.clientDataJSONResult의 바이트를 담는다.

          authenticatorData

          새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.authenticatorDataResult의 바이트를 담는다.

          signature

          새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.signatureResult의 바이트를 담는다.

          userHandle

          assertionCreationData.userHandleResult 가 null이면, 이 필드는 null로 설정. 그렇지 않으면, 새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.userHandleResult의 바이트를 담는다.

          [[clientExtensionsResults]]

          새로운 ArrayBuffer로, global의 %ArrayBuffer%를 사용해 assertionCreationData.clientExtensionResults의 바이트를 담는다.

       2. pubKeyCred를 반환한다.

    4. 남은 authenticator에 대해 issuedRequests에서 authenticatorCancel을 호출하고, issuedRequests에서 제거한다.

    5. constructAssertionAlg를 반환하고 알고리즘을 종료한다.

18. 이름이 "NotAllowedError"인 DOMException을 반환한다. 사용자의 동의 없이 사용자를 식별할 수 있는 정보 유출을 방지하기 위해, 이 단계는 lifetimeTimer가 만료되기 전에는 반드시 실행되면 안 된다. 자세한 내용은 § 14.5.2 인증 세리머니 프라이버시 참조.

위 과정 동안, 사용자 에이전트는 사용자가 인증기를 선택하고 해당 작업을 완료하도록 안내하는 UI를 표시해야 한다.

[[Store]](credential, sameOriginWithAncestors) 메서드는 Web Authentication의 PublicKeyCredential 타입에서 지원되지 않으므로 항상 오류를 반환합니다.

참고: 이 알고리즘은 동기적으로 동작하며, Promise 해제/거부는 navigator.credentials.store() 에서 처리됩니다.

이 내부 메서드는 두 개의 인수를 받습니다:

credential

이 인수는 PublicKeyCredential 객체입니다.

sameOriginWithAncestors

이 인수는 Boolean 값이며, 호출자의 environment settings object가 조상과 동일 출처일 때만 true입니다.

이 메서드가 호출되면, 사용자 에이전트는 다음 알고리즘을 반드시 실행해야 합니다:

1. DOMException 이름이 "NotSupportedError"인 예외를 반환하고, 알고리즘을 종료합니다.

[[preventSilentAccess]](credential, sameOriginWithAncestors) 메서드를 호출해도 승인 제스처가 필요한 인증기에는 아무런 효과가 없지만, 해당 플래그를 설정하면 사용자의 개입 없이 동작 가능한 인증기는 제외될 수 있습니다.

이 내부 메서드는 인수를 받지 않습니다.

WebAuthn Relying Parties는 이 메서드를 사용하여 사용자 검증 플랫폼 인증기를 사용하여 새 자격 증명을 생성할 수 있는지 확인합니다. 호출 시 클라이언트는 클라이언트 플랫폼별 절차를 사용하여 사용 가능한 사용자 검증 플랫폼 인증기를 탐색합니다. 인증기가 발견되면 promise는 true 값으로 resolve됩니다. 그렇지 않으면 promise는 false 값으로 resolve됩니다. 결과에 따라 Relying Party는 사용자가 자격 증명을 생성할 수 있도록 추가 조치를 취할 수 있습니다.

이 메서드는 인수를 받지 않으며 Boolean 값을 반환합니다.

partial interface PublicKeyCredential {
    static Promise<boolean> isUserVerifyingPlatformAuthenticatorAvailable();
};

참고: 브라우징 컨텍스트에서 Web Authentication API가 allowed to use 알고리즘에 따라 "비활성화"되어 있으면—예를 들어 permissions policy에 의해—promise는 DOMException 이름이 "NotAllowedError"인 예외로 reject됩니다. § 5.9 권한 정책 통합도 참고하세요.

✔MDN

AuthenticatorResponse/clientDataJSON

모든 최신 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera없음Edge79+

---

Edge (Legacy)18IE없음

---

Firefox for Android60+iOS Safari13.3+Chrome for Android70+Android WebView70+Samsung Internet없음Opera Mobile없음

clientDataJSON, 타입 ArrayBuffer, readonly

이 속성은 JSON 호환 직렬화된 클라이언트 데이터를 포함하며, 직렬화된 클라이언트 데이터의 해시가 클라이언트에서 인증기로 전달될 때 create() 또는 get() 호출 시 사용됩니다(즉, 클라이언트 데이터 자체는 인증기로 전달되지 않습니다).

clientDataJSON

이 속성은 AuthenticatorResponse 로부터 상속된 것으로, 클라이언트 데이터의 JSON 호환 직렬화(§ 6.5 인증서 참조)를 포함하며, 이 자격 증명을 생성하기 위해 클라이언트가 인증기에 전달한 값입니다. JSON 직렬화는 반드시 그대로 유지되어야 하며, 직렬화된 클라이언트 데이터의 해시가 그 위에 계산됩니다.

✔MDN

AuthenticatorAttestationResponse/attestationObject

모든 최신 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera없음Edge79+

---

Edge (Legacy)18IE없음

---

Firefox for Android60+iOS Safari13.3+Chrome for Android70+Android WebView70+Samsung Internet10.0+Opera Mobile없음

attestationObject, 타입 ArrayBuffer, readonly

이 속성은 attestation object를 포함하며, 클라이언트가 조작할 수 없고 암호학적으로 보호됩니다. attestation object는 authenticator data와 attestation statement를 모두 포함합니다. 앞쪽(authenticator data)에는 AAGUID, 고유한 credential ID, credential public key가 포함됩니다. attestation statement의 내용은 attestation statement format에 따라 결정되며, 인증기가 사용합니다. 또한 신뢰 당사자의 서버가 attestation statement를 검증하거나, authenticator data 및 클라이언트 데이터의 JSON 호환 직렬화를 해석 및 검증하는 데 필요한 추가 정보도 포함되어 있습니다. 자세한 내용은 § 6.5 인증서, § 6.5.4 인증 오브젝트 생성, 그림 6을 참조하세요.

getTransports()

이 연산은 [[transports]]의 값을 반환합니다.

getAuthenticatorData()

이 연산은 attestationObject에 포함된 authenticator data를 반환합니다. § 5.2.1.1 자격 증명 데이터 쉽게 접근하기를 참조하세요.

getPublicKey()

이 연산은 새 자격 증명의 DER SubjectPublicKeyInfo를 반환하며, 사용 불가 시 null을 반환합니다. § 5.2.1.1 자격 증명 데이터 쉽게 접근하기를 참조하세요.

getPublicKeyAlgorithm()

이 연산은 새 자격 증명의 COSEAlgorithmIdentifier를 반환합니다. § 5.2.1.1 자격 증명 데이터 쉽게 접근하기를 참조하세요.

[[transports]]

이 내부 슬롯은 0개 이상의 고유한 DOMString들의 시퀀스를 사전순으로 포함합니다. 이 값들은 인증기가 지원하는 전송 방식(transport)이며, 정보가 없을 경우 빈 시퀀스입니다. 값들은 AuthenticatorTransport 멤버여야 하지만, 신뢰 당사자는 알 수 없는 값은 무시해야 합니다.

clientDataJSON

이 속성은 AuthenticatorResponse로부터 상속된 것으로, 클라이언트 데이터의 JSON 호환 직렬화(§ 5.8.1 WebAuthn 서명에 사용되는 클라이언트 데이터 (dictionary CollectedClientData) 참조)를 포함하며, 해당 어서션을 생성하기 위해 클라이언트가 인증기에 전달한 값입니다. JSON 직렬화는 반드시 그대로 유지되어야 하며, 직렬화된 클라이언트 데이터의 해시가 그 위에 계산됩니다.

✔MDN

AuthenticatorAssertionResponse/authenticatorData

모든 최신 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera없음Edge79+

---

Edge (Legacy)18IE없음

---

Firefox for Android60+iOS Safari13.3+Chrome for Android70+Android WebView70+Samsung Internet없음Opera Mobile없음

authenticatorData, 타입 ArrayBuffer, readonly

이 속성은 인증기에서 반환한 authenticator data를 포함합니다. § 6.1 인증기 데이터를 참조하세요.

✔MDN

AuthenticatorAssertionResponse/signature

모든 최신 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera없음Edge79+

---

Edge (Legacy)18IE없음

---

Firefox for Android60+iOS Safari13.3+Chrome for Android70+Android WebView70+Samsung Internet없음Opera Mobile없음

signature, 타입 ArrayBuffer, readonly

이 속성은 인증기에서 반환한 원시 서명 값을 포함합니다. § 6.3.3 authenticatorGetAssertion 연산을 참조하세요.

✔MDN

AuthenticatorAssertionResponse/userHandle

모든 최신 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera없음Edge79+

---

Edge (Legacy)18IE없음

---

Firefox for Android60+iOS Safari13.3+Chrome for Android70+Android WebView70+Samsung Internet없음Opera Mobile없음

userHandle, 타입 ArrayBuffer, readonly, nullable

이 속성은 인증기에서 반환된 user handle을 포함하거나, 인증기가 user handle을 반환하지 않은 경우 null입니다. § 6.3.3 authenticatorGetAssertion 연산을 참조하세요.

type, 타입 DOMString

이 멤버는 생성할 자격 증명의 타입을 지정합니다. 값은 PublicKeyCredentialType 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시해야 하며, 알 수 없는 PublicKeyCredentialParameters의 type은 무시해야 합니다.

alg, 타입 COSEAlgorithmIdentifier

이 멤버는 새로 생성된 자격 증명이 사용할 암호학적 서명 알고리즘을 지정하며, 따라서 생성될 비대칭 키 쌍의 타입(예: RSA 또는 타원 곡선)도 결정합니다.

참고: 우리는 두 번째 멤버 이름을 "algorithm"을 풀어서 쓰지 않고 "alg"로 사용하는데, 이는 인증기에 메시지로 직렬화되어 저대역폭 링크로 전송될 수 있기 때문입니다.

✔MDN

PublicKeyCredentialCreationOptions/rp

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

rp, 타입 PublicKeyCredentialRpEntity

이 멤버는 해당 요청을 한 신뢰 당사자에 대한 정보를 포함합니다.

값의 name 멤버는 반드시 필요합니다. 자세한 내용은 § 5.4.1 공개 키 엔터티 설명(dictionary PublicKeyCredentialEntity)를 참고하세요.

값의 id 멤버는 자격 증명이 RP ID에 스코프되어야 함을 명시합니다. 생략하면, 값은 CredentialsContainer 객체의 관련 설정 객체의 origin의 유효 도메인이 됩니다. 자세한 내용은 § 5.4.2 자격 증명 생성을 위한 신뢰 당사자 파라미터(dictionary PublicKeyCredentialRpEntity)를 참고하세요.

✔MDN

PublicKeyCredentialCreationOptions/user

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

user, 타입 PublicKeyCredentialUserEntity

이 멤버는 신뢰 당사자가 어테스테이션을 요청하는 사용자 계정에 대한 정보를 포함합니다.

값의 name, displayName 및 id 멤버는 반드시 필요합니다. 자세한 내용은 § 5.4.1 공개 키 엔터티 설명(dictionary PublicKeyCredentialEntity) 및 § 5.4.3 자격 증명 생성을 위한 사용자 계정 파라미터(dictionary PublicKeyCredentialUserEntity)를 참고하세요.

✔MDN

PublicKeyCredentialCreationOptions/challenge

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

challenge, 타입 BufferSource

이 멤버는 새로 생성된 자격 증명의 어테스테이션 오브젝트 생성을 위해 사용될 챌린지를 포함합니다. § 13.4.3 암호학적 챌린지 보안 고려사항을 참고하세요.

✔MDN

PublicKeyCredentialCreationOptions/pubKeyCredParams

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

pubKeyCredParams, 타입 sequence<PublicKeyCredentialParameters>

이 멤버는 생성될 자격 증명의 원하는 특성에 대한 정보를 포함합니다. 시퀀스는 가장 선호하는 것부터 가장 덜 선호하는 것 순서로 정렬됩니다. 클라이언트는 가능한 한 가장 선호하는 자격 증명을 생성하기 위해 최선을 다합니다.

✔MDN

PublicKeyCredentialCreationOptions/timeout

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

timeout, 타입 unsigned long

이 멤버는 호출자가 작업 완료까지 기다릴 의향이 있는 시간(밀리초 단위)을 지정합니다. 이는 힌트로 취급되며, 클라이언트에 의해 무시될 수 있습니다.

✔MDN

PublicKeyCredentialCreationOptions/excludeCredentials

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

excludeCredentials, 타입 sequence<PublicKeyCredentialDescriptor>, 기본값 []

이 멤버는 동일한 인증기에 대해 동일 계정에 여러 자격 증명이 생성되는 것을 제한하려는 신뢰 당사자에서 사용합니다. 클라이언트는 새 자격 증명이 이 파라미터에 나열된 자격 증명 중 하나와 동일한 인증기에 생성될 경우 오류를 반환해야 합니다.

✔MDN

PublicKeyCredentialCreationOptions/authenticatorSelection

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

authenticatorSelection, 타입 AuthenticatorSelectionCriteria

이 멤버는 신뢰 당사자가 create() 작업에 참여할 적합한 인증기를 선택할 때 사용합니다.

✔MDN

PublicKeyCredentialCreationOptions/attestation

모든 현행 표준 엔진에서 지원됨.

Firefox60+Safari13+Chrome67+

---

Opera54+Edge79+

---

Edge (Legacy)없음IE없음

---

Firefox for Android?iOS Safari13.3+Chrome for Android67+Android WebView없음Samsung Internet없음Opera Mobile48+

attestation, 타입 DOMString, 기본값 "none"

이 멤버는 신뢰 당사자가 어테스테이션 전송에 대한 선호도를 표현할 때 사용합니다. 값은 AttestationConveyancePreference 멤버여야 하며, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시하며, 알 수 없는 값은 해당 멤버가 존재하지 않는 것과 동일하게 취급해야 합니다. 기본값은 "none"입니다.

extensions, 타입 AuthenticationExtensionsClientInputs

이 멤버는 클라이언트 및 인증기에게 추가 처리를 요청하는 추가 파라미터를 포함합니다. 예를 들어, 호출자는 특정 기능을 가진 인증기만을 사용해 자격 증명을 생성하도록 요청하거나, 어테스테이션 오브젝트에 특정 정보를 반환하도록 요청할 수 있습니다. 일부 확장은 § 9 WebAuthn 확장에 정의되어 있습니다. 최신 등록된 WebAuthn 확장 목록은 [IANA-WebAuthn-Registries] 및 [RFC8809]에서 확인할 수 있습니다.

name, 타입 DOMString

엔터티를 위한 사람 친화적 이름입니다. 기능은 PublicKeyCredentialEntity 가 무엇을 나타내는지에 따라 달라집니다:

• PublicKeyCredentialRpEntity 에 상속될 경우 신뢰 당사자의 사람 친화적 식별자로, 오직 표시용입니다. 예: "ACME Corporation", "Wonderful Widgets, Inc." 또는 "ОАО Примертех".

  • 신뢰 당사자는 PRECIS FreeformClass의 Nickname Profile에 대해 [RFC8266] 2.3절에서 규정한 대로 name 값 설정 또는 사용자에게 표시 시 반드시 규제(enforcement)를 해야 합니다. [RFC8264] 참조.

  • 이 문자열에는 언어 및 방향 메타데이터가 포함될 수 있습니다. 신뢰 당사자는 이 정보 제공을 고려해야 하며, 메타데이터 인코딩 방법은 § 6.4.2 언어 및 방향 인코딩을 참고하세요.

  • 클라이언트는 name 값 표시 전 또는 authenticatorMakeCredential 연산의 파라미터로 포함하기 전, PRECIS FreeformClass의 Nickname Profile에 대해 [RFC8266] 2.3절에서 규정한 대로 반드시 규제(enforcement)를 해야 합니다. [RFC8264] 참조.

• PublicKeyCredentialUserEntity 에 상속될 경우 사용자 계정의 사람 친화적 식별자로, 오직 표시용입니다. 예를 들어, "alexm", "alex.mueller@example.com" 또는 "+14255551234". displayName이 유사한 여러 계정 구분에 도움을 줍니다.

  • 신뢰 당사자는 사용자가 이 값을 선택하도록 허용할 수 있으며, PRECIS IdentifierClass의 UsernameCasePreserved Profile에 대해 [RFC8265] 3.4.3절에서 규정한 대로 name 값 설정 또는 사용자에게 표시 시 반드시 규제(enforcement)를 해야 합니다. [RFC8264] 참조.

  • 이 문자열에는 언어 및 방향 메타데이터가 포함될 수 있습니다. 신뢰 당사자는 이 정보 제공을 고려해야 하며, 메타데이터 인코딩 방법은 § 6.4.2 언어 및 방향 인코딩을 참고하세요.

  • 클라이언트는 name 값 표시 전 또는 authenticatorMakeCredential 연산의 파라미터로 포함하기 전, PRECIS IdentifierClass의 UsernameCasePreserved Profile에 대해 [RFC8265] 3.4.3절에서 규정한 대로 반드시 규제(enforcement)를 해야 합니다. [RFC8264] 참조.

클라이언트, 클라이언트 플랫폼, 또는 인증기가 name 값을 표시할 때는 항상 UI 요소를 사용해 표시값 경계를 명확히 해야 하며, 다른 요소로 오버플로우 되지 않도록 해야 합니다 [css-overflow-3].

인증기는 값을 저장하는 경우 name 멤버 값을 64바이트 내로 잘라 저장할 수 있습니다. 문자열 잘림 및 기타 고려사항은 § 6.4.1 문자열 잘림을 참고하세요.

id, 타입 DOMString

신뢰 당사자 엔터티의 고유 식별자이며, RP ID를 설정합니다.

id, 타입 BufferSource

사용자 계정 엔터티의 user handle입니다. user handle은 최대 64바이트 크기의 불투명 바이트 시퀀스이며, 사용자에게 표시되지 않습니다.

안전한 동작을 위해 인증 및 권한 결정은 반드시 id 멤버를 기반으로 이루어져야 하며, displayName 또는 name 멤버를 기반으로 하면 안 됩니다. [RFC8266] 6.1절 참고.

user handle에는 사용자 이름, 이메일 주소 등 개인정보가 포함되어서는 안 됩니다; 자세한 내용은 § 14.6.1 user handle 내용을 참고하세요. user handle은 비어 있을 수 없지만 null일 수는 있습니다.

참고: user handle은 서로 다른 계정에서 상수값이 되어서는 안 되며, 비발견 가능 자격 증명에서도 마찬가지입니다. 일부 인증기는 항상 발견 가능 자격 증명을 생성하므로, 상수 user handle은 하나의 신뢰 당사자에서 여러 계정을 사용할 수 없게 만듭니다.

displayName, 타입 DOMString

사용자 계정을 위한 사람 친화적 이름으로, 오직 표시용입니다. 예: "Alex Müller" 또는 "田中倫". 신뢰 당사자는 사용자가 직접 선택하도록 허용해야 하며, 필요 이상으로 선택을 제한해서는 안 됩니다.

• 신뢰 당사자는 PRECIS FreeformClass의 Nickname Profile에 대해 [RFC8266] 2.3절에서 규정한 대로 displayName 값 설정 또는 사용자에게 표시 시 반드시 규제(enforcement)를 해야 합니다. [RFC8264] 참조.

• 이 문자열에는 언어 및 방향 메타데이터가 포함될 수 있습니다. 신뢰 당사자는 이 정보 제공을 고려해야 하며, 메타데이터 인코딩 방법은 § 6.4.2 언어 및 방향 인코딩을 참고하세요.

• 클라이언트는 displayName 값 표시 전 또는 authenticatorMakeCredential 연산의 파라미터로 포함하기 전, 반드시 규제(enforcement)를 해야 합니다. 규제 방법은 PRECIS FreeformClass의 Nickname Profile에 대해 [RFC8266] 2.3절 및 [RFC8264] 참조.

클라이언트, 클라이언트 플랫폼, 또는 인증기가 displayName 값을 표시할 때는 항상 UI 요소를 사용해 표시값 경계를 명확히 해야 하며, 다른 요소로 오버플로우 되지 않도록 해야 합니다 [css-overflow-3].

인증기는 displayName 멤버 값을 64바이트 최소 길이로 수용하고 저장해야 하며, 64바이트 내로 잘라 저장할 수 있습니다. 문자열 잘림 및 기타 고려사항은 § 6.4.1 문자열 잘림을 참고하세요.

authenticatorAttachment, 타입 DOMString

이 멤버가 있으면, 해당 § 5.4.5 인증기 부착 열거형(enum AuthenticatorAttachment)에 따라 부착된 인증기만 선택됩니다. 값은 AuthenticatorAttachment 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시하며, 알 수 없는 값은 해당 멤버가 없는 것으로 취급해야 합니다(member does not exist).

residentKey, 타입 DOMString

신뢰 당사자가 클라이언트 측 발견 가능 자격 증명을 얼마나 원하는지를 지정합니다. 과거 명칭 때문에 "resident" 용어가 유지됩니다. 값은 ResidentKeyRequirement 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시하며, 알 수 없는 값은 해당 멤버가 없는 것으로 취급해야 합니다(member does not exist). 값이 없으면 required는 requireResidentKey가 true일 때, discouraged는 false 또는 없을 때 적용됩니다.

값과 의미에 대한 설명은 ResidentKeyRequirement를 참고하세요.

requireResidentKey, 타입 boolean, 기본값 false

이 멤버는 WebAuthn Level 1과의 하위 호환성을 위해 유지되며, 과거 명칭 때문에 "resident" 용어를 사용합니다(발견 가능 자격 증명 의미). 신뢰 당사자는 residentKey가 required로 설정된 경우에만 true로 설정해야 합니다.

userVerification, 타입 DOMString, 기본값 "preferred"

이 멤버는 신뢰 당사자가 create() 작업에서 사용자 검증에 대해 요구하는 사항을 설명합니다. 해당 요구를 만족시킬 수 있는 인증기만 선택됩니다. 값은 UserVerificationRequirement 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시하며, 알 수 없는 값은 해당 멤버가 없는 것으로 취급해야 합니다(member does not exist).

platform

이 값은 플랫폼 부착을 의미합니다.

cross-platform

이 값은 크로스 플랫폼 부착을 의미합니다.

discouraged

이 값은 신뢰 당사자가 서버 측 자격 증명 생성을 선호하지만, 클라이언트 측 발견 가능 자격 증명도 허용함을 의미합니다.

참고: 신뢰 당사자는 반드시 서버 측 자격 증명이 생성되도록 요구할 수 없으며, 자격 증명 속성 확장(Credential Properties Extension)에서 rk 속성 값이 반환되지 않을 수도 있습니다. 이로 인해 해당 자격 증명이 서버 측 자격 증명인지 여부를 알 수 없으며, 동일 user handle로 두 번째 자격 증명을 생성하면 첫 번째 것이 삭제되는지 알 수 없습니다.

preferred

이 값은 신뢰 당사자가 클라이언트 측 발견 가능 자격 증명 생성을 강하게 선호하지만, 서버 측 자격 증명도 허용함을 의미합니다. 예를 들어, 사용자 에이전트는 사용자 검증이 필요하다면 이를 안내해서 클라이언트 측 발견 가능 자격 증명을 생성해야 합니다. 이 설정은 userVerification 설정보다 우선합니다.

required

이 값은 신뢰 당사자가 클라이언트 측 발견 가능 자격 증명을 반드시 요구하며, 생성할 수 없을 경우 오류를 받을 준비가 되어 있음을 의미합니다.

none

이 값은 신뢰 당사자가 인증기 어테스테이션에 관심이 없음을 나타냅니다. 예를 들어, 신뢰 당사자에게 식별 정보를 전달하기 위해 사용자 동의를 받지 않아도 되거나, 어테스테이션 CA 또는 익명화 CA와의 왕복(roundtrip)을 줄이기 위해 사용할 수 있습니다.

이 값이 기본값입니다.

indirect

이 값은 신뢰 당사자가 검증 가능한 어테스테이션 문을 포함하는 어테스테이션 전달을 선호하지만, 해당 문 얻는 방법은 클라이언트에 맡긴다는 의미입니다. 클라이언트는 인증기에서 생성된 어테스테이션 문을 익명화 CA에서 생성한 것으로 바꿀 수 있으며, 이는 사용자의 프라이버시를 보호하거나 다양한 환경에서 신뢰 당사자의 어테스테이션 검증을 돕기 위한 목적입니다.

참고: 이 경우 신뢰 당사자가 반드시 검증 가능한 어테스테이션 문을 받을 수 있다는 보장은 없습니다. 예를 들어, 인증기가 자체 어테스테이션을 사용하는 경우 등입니다.

direct

이 값은 신뢰 당사자가 인증기가 생성한 어테스테이션 문을 그대로 받기를 원하는 경우입니다.

enterprise

이 값은 신뢰 당사자가 고유 식별 정보를 포함할 수 있는 어테스테이션 문을 받기를 원하는 경우입니다. 이는 엔터프라이즈 내부에서 특정 인증기에 등록을 연결하려는 통제된 배포 환경에 사용됩니다. 사용자 에이전트는 해당 RP ID에 대해 사용자 에이전트 또는 인증기 설정이 허용하지 않는 한 반드시 이런 어테스테이션을 제공해서는 안 됩니다.

허용되는 경우, 사용자 에이전트는 인증기에(초기화 시점에) 엔터프라이즈 어테스테이션이 요청되었다고 신호를 주고, 생성된 AAGUID와 어테스테이션 문을 변경 없이 신뢰 당사자에게 전달해야 합니다.

type, 타입 DOMString

새 자격 증명 생성 시 "webauthn.create", 기존 자격 증명에서 어서션을 얻을 때 "webauthn.get" 문자열이 포함됩니다. 이 멤버는 특정 유형의 서명 혼동 공격(공격자가 한 합법적 서명을 다른 것으로 대체하는 상황)을 방지하기 위한 목적입니다.

challenge, 타입 DOMString

이 멤버는 신뢰 당사자가 제공한 챌린지의 base64url 인코딩 값을 담고 있습니다. § 13.4.3 암호학적 챌린지 보안 고려사항을 참고하세요.

origin, 타입 DOMString

이 멤버는 요청자의 완전한 origin을 포함하며, 클라이언트가 인증기에 제공한 값입니다. [RFC6454]에서 정의된 구문을 따릅니다.

crossOrigin, 타입 boolean

이 멤버는 내부 메서드에 전달된 sameOriginWithAncestors 인자의 반대 값을 포함합니다.

tokenBinding, 타입 TokenBinding

이 선택적 멤버는 Token Binding 프로토콜 [TokenBinding]의 상태 정보를 담고 있습니다. 값이 없으면 클라이언트가 토큰 바인딩을 지원하지 않음을 의미합니다.

status, 타입 DOMString

이 멤버는 TokenBindingStatus 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시하며, 알 수 없는 값은 tokenBinding 멤버가 없는 것으로 취급해야 합니다(member does not exist). 알 수 있는 경우 다음 중 하나입니다:

supported

클라이언트가 토큰 바인딩을 지원하지만, 신뢰 당사자와 통신할 때 협상되지 않은 경우입니다.

present

신뢰 당사자와 통신할 때 토큰 바인딩이 사용된 경우입니다. 이 경우 id 멤버가 반드시 존재해야 합니다.

참고: TokenBindingStatus 열거형은 의도적으로 참조되지 않았습니다. 자세한 내용은 § 2.1.1 DOMString 타입의 열거형 참고.

id, 타입 DOMString

status가 present일 때 반드시 있어야 하며, 신뢰 당사자와 통신할 때 사용된 base64url 인코딩의 Token Binding ID여야 합니다.

참고: Token Binding ID를 얻는 것은 클라이언트 플랫폼별 동작입니다.

CollectedClientData 구조는 클라이언트가 다음 값을 계산하는 데 사용됩니다:

클라이언트 데이터의 JSON 호환 직렬화

이는 CollectedClientData 사전에 대해 JSON 호환 직렬화 알고리즘을 수행한 결과입니다.

직렬화된 클라이언트 데이터의 해시

이는 클라이언트가 생성한 클라이언트 데이터의 JSON 호환 직렬화에 대해 SHA-256을 이용해 계산한 해시입니다.

현재 하나의 자격 증명 타입만 정의되어 있으며, "public-key" 입니다.

type, 타입 DOMString

이 멤버는 호출자가 참조하는 공개 키 자격 증명의 타입을 포함합니다. 값은 PublicKeyCredentialType 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 PublicKeyCredentialDescriptor의 type을 반드시 무시해야 합니다.

id, 타입 BufferSource

이 멤버는 호출자가 참조하는 공개 키 자격 증명의 자격 증명 ID를 포함합니다.

transports, 타입 sequence<DOMString>

이 선택적 멤버는 호출자가 참조하는 공개 키 자격 증명의 관리 인증기와 클라이언트가 어떻게 통신할 수 있는지에 대한 힌트를 포함합니다. 값은 AuthenticatorTransport 멤버여야 하지만, 클라이언트 플랫폼은 알 수 없는 값을 반드시 무시해야 합니다.

getTransports() 연산으로 해당 멤버에 적합한 값을 얻을 수 있습니다. 새 자격 증명 등록 시, 신뢰 당사자는 getTransports()에서 반환되는 값을 저장해야 합니다. 이후 해당 자격 증명에 대해 PublicKeyCredentialDescriptor를 생성할 때, 신뢰 당사자는 저장한 값을 가져와 transports 멤버에 설정해야 합니다.

usb

해당 인증기가 분리형 USB를 통해 접속될 수 있음을 나타냅니다.

nfc

해당 인증기가 근거리 무선통신(NFC)을 통해 접속될 수 있음을 나타냅니다.

ble

해당 인증기가 블루투스 스마트(저전력 블루투스 / BLE)를 통해 접속될 수 있음을 나타냅니다.

internal

해당 인증기가 클라이언트 디바이스별 전송 방식을 통해 접속되며, 즉 플랫폼 인증기임을 의미합니다. 이러한 인증기는 클라이언트 디바이스에서 분리할 수 없습니다.

COSE 알고리즘 레지스트리는 COSE key에서 다른 파라미터로 지정할 수 있는 자유도를 남겨둡니다. 상호운용성을 높이기 위해, 이 명세는 자격 증명 공개키에 대해 다음을 추가로 보장합니다:

1. ES256(-7) 알고리즘 키는 crv 파라미터로 반드시 P-256(1)을 지정해야 하며, 압축 포인트 형식을 사용하면 안 됩니다.

2. ES384(-35) 알고리즘 키는 crv 파라미터로 반드시 P-384(2)를 지정해야 하며, 압축 포인트 형식을 사용하면 안 됩니다.

3. ES512(-36) 알고리즘 키는 crv 파라미터로 반드시 P-521(3)을 지정해야 하며, 압축 포인트 형식을 사용하면 안 됩니다.

4. EdDSA(-8) 알고리즘 키는 crv 파라미터로 반드시 Ed25519(6)를 지정해야 합니다. (COSE에서는 항상 압축 형식 사용.)

required

이 값은 신뢰 당사자가 해당 작업에 사용자 검증을 반드시 요구하며, 응답에 UV 플래그가 설정되어 있지 않으면 작업이 실패함을 의미합니다.

preferred

이 값은 신뢰 당사자가 가능하다면 해당 작업에 사용자 검증을 선호하지만, 응답에 UV 플래그가 설정되어 있지 않아도 작업이 실패하지 않음을 의미합니다.

discouraged

이 값은 신뢰 당사자가 해당 작업에 사용자 검증이 사용되지 않기를 원함을 나타냅니다(예: 사용자 인터랙션 흐름의 방해를 최소화하기 위해).