FIDO2ということで、WebAuthn（Web Authentication）を試してみる

October 24, 2018 javascript

技術評論社の刊行物である WEB+DB PRESS Vol.107 に Web Authentication の特集が組まれていました。タイミングを合わせたのか、publickeyでも「Yahoo! JAPANが指紋認証などによるログイン実現。ID/パスワードを不要にするFIDO2対応が国内でついにスタート」という記事が紹介され、日本ではYahoo!さんがプロダクション導入一番手になりそうですね。

現職に転職してからはクライアントサイドの開発に従事する機会が激減し、FIDO　の動向をキャッチアップしていなかったのですが、先程のニュースを見て、「おっ」と思い、久しぶりに手を動かしてみました。

Web AuthenticationとFIDO

簡単に触りだけ説明します。

Web Authentication はW3Cにて策定されたWebにおける認証の仕様です。主にブラウザに組み込まれることを想定した仕様となっていて、JavascriptのAPIを介して、クライアント側で認証を行います。従来のID/Passwordによる認証ではなく、携帯電話のPINコードやSMSを使った認証、指紋や顔を使った生体認証の機能が実現できるようになります。

そもそも、Web Authentication の仕様は FIDO Alliance の提案が基になっています。現在では、数多くの名だたる企業が加盟していることから、業界の注目度が高いことが伺えます。

個人的には FIDO という単語を、 所持認証や生体認証を用いてクライアント側で認証処理自体を行う技術、という意味合いで使っています。

Web Authenticationの対応状況

策定された Web Authentication の仕様は、各ブラウザベンダーが実装を進めています。

2018/10現在では、モバイル端末向けのChromeでは近々利用可能という話がある一方、 Webkit（Safari）では In Development（開発中） のステータスです。Safariの対応が完了することで、Webの世界におけるモバイル端末の認証のユーザビリティ向上が本格化しそうですね。

PCブラウザでは、一部のブラウザ（FirefoxやChrome）で既に利用することができます。その場合には、 Yubico セキュリティキーなどのUSBデバイスが必要になります。

指紋認証を試してみる

手持ちのモバイル端末を使って指紋認証を体験してみます。今回、Android（OS ver7以上）に Chrome Canary をインストールして使うことを前提とします。

実装してみる

WEB+DB PRESS Vol.107 のFIDOの記事で紹介されているサンプルコードは、サーバ通信が発生しないライトな実装だったので、最初は Web Authentication APIの仕様を読みながら自前でしこしこ作ろうかと考えていましたが、既に先人がリファレンス実装をしてくれていました。

apowers313/fido2-server-demo

上記のリンクから、更に各会社のリファレンス実装のリンクをたどることができます。今回は、FIDO Allianceが実装している webauthn-demo をベースにしました。

しかし、 webauthn-demo には、 AndroidのChromeで指紋認証を使った場合のアテステーションのハンドリング（ fmt が android-safetynet の場合の実装）がありませんでした。不足箇所の実装は google/webauthndemo を参考に実装しました。

これをAWSのEC2上に展開し、SSL証明書（ACM）を当てたロードバランサー配下に配置して上げればOKです。