W3C 发布 WebAuthn 第 3 级候选推荐

发生了什么

在 2026 年 1 月 13 日，W3C 发布了 Web 身份验证 (WebAuthn) 第 3 级的候选推荐快照。此次更新整合了多设备通行证密钥行为，添加了几个新的客户端 API 和序列化助手，收紧了证明/相关源处理，并澄清了 iframe 和权限策略的交互。该文档目前处于候选推荐阶段，实施者正在收集测试数据以获得最终批准。(w3.org)

为什么这对全栈团队很重要

• 通行证密钥和多设备凭证不再仅仅是供应商扩展——第 3 级正式化了使同步通行证密钥和多设备注册成为一流行为的 API 和选项。
• 新的客户端方法（例如，getClientCapabilities()、JSON 反序列化助手如 parseCreationOptionsFromJSON/parseRequestOptionsFromJSON，以及凭证信号方法）改变了应用程序检测支持、序列化选项和响应身份验证器信号的方式——直接影响服务器↔客户端有效负载格式和 SDK。
• 证明和相关源规则有了更清晰的指导；接受证明的依赖方必须验证规范中描述的更新证明格式和证书规则。
• 权限策略、iframe 使用和跨源相关源验证得到了明确处理——对于在框架中嵌入身份验证流程或使用跨源登录流程进行委托登录或单点登录的团队来说，这一点非常重要。
• 该规范的候选推荐状态意味着 W3C 期望在最终确定之前进行实施测试；浏览器和平台供应商将使用此快照来添加功能支持或标志。

关键实际变化（高影响）

• 客户端能力检测：一个标准化的 API，用于在开始注册/身份验证流程之前查询身份验证器能力（减少特性检测启发式）。
• JSON (反)序列化器：规范级别的 parse* 助手，规范化服务器应如何发送和接收 WebAuthn 选项（减少服务器库和浏览器实现之间的互操作性差异）。
• 信号方法：页面向身份验证器发送上下文信息的新方式（例如，当前用户详细信息、凭证列表），以改善静默/发现流程并减少用户摩擦。
• 证明澄清：更新的规则适用于打包/TPM/Android 证明格式和证书验证，服务器验证者必须实施这些规则以保持合规和安全。
• iframe / 相关源：在 iframe 内和跨相关源使用 WebAuthn 的明确处理和验证模式（对嵌入式小部件、单点登录流程和多租户设置至关重要）。
• 权限策略集成：注册嵌入页面如何通过策略头选择加入/退出 WebAuthn 操作。

工程团队的立即行动

1. 阅读候选推荐快照，并将差异映射到您的技术栈（服务器库、客户端代码、第三方 SDK）。(w3.org)
2. 审计服务器验证库（fido2 / webauthn 库）：确保它们接受第 3 级证明格式和证书约束，或准备在供应商补丁发布时进行升级。测试向量覆盖至关重要。
3. 标准化 JSON 互操作性：在您的 API 合同中采用规范推荐的创建/请求选项序列化，以避免跨浏览器不匹配。
4. 添加能力检查：使用 getClientCapabilities()（或优雅的特性检测）来呈现适当的用户体验（常驻密钥、可发现凭证、同步通行证密钥）。
5. 审查 iframe 和权限策略的使用：如果您的产品嵌入身份验证流程，请确认允许的行为，并在现代浏览器中测试相关源验证流程。
6. 在 canary/实验性浏览器上进行测试：由于这是候选推荐，早期浏览器支持可能会在标志后面出现——对这些构建运行集成测试，以捕捉互操作性差距。
7. 协调产品和安全：更新威胁模型和推出计划，以考虑同步通行证密钥（不同的账户恢复和网络钓鱼考虑）。

推荐的推出计划（简短）

• 第 0–2 周：清点 WebAuthn 使用情况（端点、SDK、iframe/嵌入流程），为当前行为添加自动化测试。
• 第 2–6 周：针对暴露第 3 级特性的浏览器构建运行集成测试；更新服务器库或固定供应商修复。
• 第 6–12 周：为客户端能力驱动的用户体验进行受控推出（功能标志）；监控错误和证明验证日志。
• 持续进行：订阅 W3C 测试更新和浏览器发布说明——该规范期望在最终确定之前进行实施测试（文档提到在实施经验后朝着推荐的进展）。(w3.org)

底线

WebAuthn 第 3 级将重要的通行证密钥、证明和嵌入行为从临时实现转移到正式规范。全栈团队应将此快照视为审计身份验证代码路径、将序列化和证明验证与规范对齐的触发器，并开始与浏览器预览构建进行集成测试——但在供应商库和至少一到两个浏览器达到稳定支持后再计划功能推出。

来源

Web 身份验证：访问公钥凭证的 API——第 3 级（W3C 候选推荐快照，2026 年 1 月 13 日）。(w3.org)

来源

• 来源