用于浏览器内 WebAuthn 和密码钥匙测试的 Chrome 扩展
WebAuthn Solver,来自WebAuthn Solver,是一个Chrome扩展,帮助开发人员测试和调试基于密码的身份验证流程。它将WebAuthn测试过程的部分内容移入浏览器,以便开发人员可以在不切换工具的情况下完成身份验证挑战。该扩展为开发人员工作流程而构建,将浏览器内的挑战处理与设备支持的身份验证器连接起来,减少手动测试步骤。它的目标用户是与FIDO2和密码协议合作的Web开发人员、安全工程师和QA测试人员,旨在进行实际测试,而不是一般消费者使用。
扩展如何在测试期间解决 WebAuthn 挑战?
WebAuthn Solver 拦截网页呈现的 publicKey 挑战流,并向被测试系统返回所需的断言。该扩展与设备级的密码钥匙集成,因此物理身份验证器可以生成页面所期望的响应。这条直接的浏览器到身份验证器的路径消除了在开发和安全审计期间执行创建和断言流时对临时辅助脚本的需求。
扩展有多轻,它如何影响开发者工作流程?
该附加组件旨在紧凑并在浏览器内工作,这使得测试步骤保持在单一环境中。该产品被描述为轻量级开发者工具,这种设计减少了在桌面工具和外部身份验证器之间的上下文切换。迭代无密码流的开发者可以在不重复重建服务器模拟的情况下运行基于浏览器的检查。
使用它需要什么权限和设备?
该扩展需要权限与发出 WebAuthn 挑战的页面进行交互,某些流程需要附近的支持密码钥匙的设备,例如智能手机,以完成身份验证。由于它充当物理身份验证器的桥梁,依赖外部硬件的测试必须根据平台密码钥匙规则确保该设备可用并配对。
这适合谁,如何与手动测试相比?
这是一种面向开发者的工具,而不是消费者功能;预期用户是实施或审计 FIDO2 和密码钥匙系统的网页开发者、安全工程师和质量保证测试人员。用户反馈将该扩展置于一个小众类别中,消除了测试周期中的手动摩擦。对于需要可重复的浏览器内断言检查的团队,它提供了一条比运行单独硬件脚本更直接的路径。
开发者测试的实用选择,具有明确的范围
WebAuthn Solver 是开发者和测试人员在开发过程中需要更快的浏览器内密码验证的实用选项。它对测试工作流的狭窄关注意味着不进行硬件支持检查的团队将从中获得很少的好处。一个明智的做法是在测试网站上仅启用该扩展,并授予会话所需的最小权限,这样可以将其使用限制在开发环境中。