跨多个子域的 WebAuthn

我正在尝试在我的网站上设置 WebAuthn 身份验证流程，但遇到了问题。我希望我的用户能够在主网站 (www.domain.com) 上注册他们的设备，以便可以通过用户设置轻松访问。身份验证本身通过 IdP (sso.domain.com) 在不同的子域上进行。这就是麻烦开始的地方。

我尝试过以下几件事：

• 在 www.scoutswechel.be 上进行注册和身份验证，将“www.scoutswechel.be”传递为 rp.id => 即可。
• 在 www.scoutswechel.be 上注册，在 sso.scoutswechel.be 上进行身份验证，将“www.scoutswechel.be”作为两者的 rp.id 传递 => 身份验证步骤失败，因为身份验证器不返回任何密钥。
• 在 www.scoutswechel.be 上注册，在 sso.scoutswechel 上进行身份验证，分别将这些域作为 rp.id => 传递，身份验证步骤失败，因为身份验证器不返回任何密钥。
• 在 www.scoutswechel.be 上注册，在 sso.scoutswechel.be 上进行身份验证，将“scoutswechel.be”作为 rp.id 传递给这两个 => 注册步骤已经失败，不同浏览器出现不同的错误（例如“密钥返回了意外的内容 (2)”） ' 在铬中）。

如果我正确理解规范，传递“scoutswechel.be”实际上应该有效，因为两个域都是主域的子域（如果我在这里错了，请纠正我）。

我使用 PHP 准备挑战，并通过 ajax 调用将它们传递到页面。我的 PHP 脚本返回以下值：

{
   "publicKey":{
      "challenge":[105,107,101,103,105,49,119,115,98,108,119,109,48,109,105,53],
      "user":{
         "name":"walter",
         "displayName":"Wouter Henderickx",
         "id":[49,48,51]
      },
      "rp":{
         "id":"scoutswechel.be",
         "name":"scoutswechel.be"
      },
      "pubKeyCredParams":[
         {
            "alg":-7,
            "type":"public-key"
         }
      ],
      "authenticatorSelection":{
         "authenticatorAttachment":"cross-platform",
         "requireResidentKey":false,
         "userVerification":"preferred"
      },
      "attestation":null,
      "timeout":60000,
      "excludeCredentials":[],
      "extensions":{
         "exts":true
      }
   },
   "b64challenge":"aWtlZ2kxd3NibHdtMG1pNQ"
}

然后，我将质询和 user.id 转换为 Uint8Array 并将公钥部分传递给：

navigator.credentials.create({publicKey: key.publicKey}).
	then(function (aNewCredentialInfo) {
		do.stuff()
	})

我该怎么办？我可以将哪些值传递给 rp.id 以使其在两个子域中正常工作？

最后，我想通了。这些都是我的实施问题：

• 在图书馆中，我的项目基于（https://github.com/davidearl/webauthn https://github.com/davidearl/webauthn），有一段 javascript 将 rp.name 的值与原点进行比较。由于我传递的是非域名，因此此检查阻止了进一步的执行。
• 我正在传递“rpid”作为依赖方标识符。然而，这应该是“rpId”。由于我的身份验证器在没有 rpid 的情况下无法找到任何凭据，因此它没有返回任何内容，并且我没有经过身份验证。