Symfony 7.4 中的 Passkeys：如何构建一个完全无密码的未来

📌 一句话摘要

一份关于如何在 Symfony 7.4 中使用 WebAuthn、FIDO2 和 Stimulus 实现完全无密码认证系统的全面技术指南。

📝 详细摘要

本文深入探讨了如何将 Symfony 应用程序从传统的基于密码的安全机制过渡到使用 Passkeys 的 100% 无密码架构。它详细介绍了 'web-auth/webauthn-symfony-bundle' 的实现，强调移除 PasswordAuthenticatedUserInterface 以消除与密码相关的漏洞。该指南涵盖了用于公钥存储的数据库模式设计、依赖方 (RP) 的后端配置以及使用 Stimulus 控制器进行的前端集成。关键的是，它解决了生产级别的问题，例如 CSRF 保护、自定义 AJAX 认证处理程序以及 Apple 特定的实现细节，如 AAGUID 验证和 HTTPS 要求。

💡 主要观点

- 通过移除传统密码接口，实现 100% 无密码的架构转变。 通过从 User 实体中剥离 PasswordAuthenticatedUserInterface，应用程序消除了 80% 数据泄露的根本原因，强制采用纯粹的加密密钥对方法。

实现专用的 PublicKeyCredentialSource 实体以支持多设备。 标准用户实体无法存储复杂的 WebAuthn 元数据；需要一个单独的实体来管理每个用户的多个凭据（例如 FaceID、YubiKey），同时保留 TrustPath 以进行高安全性证明。

自定义 Symfony 安全处理程序以支持基于 AJAX 的 WebAuthn 流程。 由于 WebAuthn 依赖于前端 fetch 请求，标准重定向会失败；自定义成功和失败处理程序必须返回 JSON 响应，以确保在握手过程中提供流畅的用户体验。

严格遵守依赖方 (RP) ID 和安全上下文要求。 WebAuthn 是域绑定的，需要 HTTPS；该指南强调 RP ID 必须与根域完全匹配，以防止网络钓鱼并确保浏览器级别的凭据访问。

💬 文章金句

- Passkeys 是未来。没有可窃取的哈希值，没有需要重置的密码，并且本质上能抵抗网络钓鱼。

• 标准的 Symfony User 实体不具备存储 Passkey 元数据的能力... 我们将从系统中完全剥离密码。
• WebAuthn 对域的要求非常严格。为 example.com 创建的 Passkey 不能在 phishing-example.com 上使用。
• 将 Symfony 7.4 迁移到 Apple Passkeys 不仅仅是安全升级；它也是用户体验的显著提升。
• 私钥永远不会离开用户的设备，而公钥则存储在你的 Symfony 服务器上。

📊 文章信息

AI 评分：88

来源：HackerNoon

作者：MattLeads

分类：软件编程

语言：英文

阅读时间：8 分钟

字数：1752

标签： Symfony, Passkeys, WebAuthn, FIDO2, PHP

阅读完整文章