WebAuthn 无密码认证实践（2025）

WebAuthn 无密码认证实践（2025）WebAuthn 利用公钥-私钥对实现无密码登录，抵御钓鱼与重放。一、注册与认证注册：生成公钥凭证，服务端保存公钥与元数据。认证：挑战/签名校验，绑定域与设备，防钓鱼。二、认证器与兼容平台认证器：设备内置（Passkey），体验好但设备绑定。漫游认证器：安全密钥跨设备使用，适合高安全要求。三、策略与恢复设备迁移与恢复：绑定账户与恢复流程；多设备支持。回退登录：在失败时转为二步验证，保证可用性。四、审计与合规审计：记录注册/认证事件与设备元数据。合规：最小数据保存与加密与隐私保护。注意事项关键词、分类与描述与正文一致；流程与能力为通用与可验证实践。与 OAuth2/OIDC 与网关策略协同统一。