Rodauth项目中WebAuthn跨域认证的RP_ID问题解析

背景介绍

在现代Web应用中，多租户架构已成为常见的设计模式。在这种架构下，通常会有一个主域名(如app.xxx.com)用于集中认证，然后重定向到各个租户的特定子域名(如client_1.xxx.com)。当在这种环境中实现WebAuthn无密码认证时，开发者可能会遇到一些技术挑战。

问题现象

在使用Rodauth的WebAuthn功能时，开发团队发现：

1. 在租户特定域名(client_x.xxx.com)上设置和使用Passkey工作正常
2. 但在主域名(app.xxx.com)上尝试使用Passkey时却失败
3. 将webauthn_rp_id设置为顶级域名(xxx.com)后，租户特定域名的Passkey设置开始报错(Webauthn::RpIdVerificationError)

技术分析

问题的核心在于WebAuthn规范中的RP ID(依赖方标识符)验证机制。根据WebAuthn规范，RP ID用于：

1. 标识认证请求的来源
2. 确保认证凭证只能用于预期的网站
3. 防止跨站点伪造请求

在Rodauth的实现中，原本只考虑了origin(来源)验证，而没有正确处理自定义RP ID的情况。具体表现为：

• 在valid_webauthn_credential_auth?和valid_new_webauthn_credential?方法中
• 虽然通过单例方法重写了verify方法以处理origin
• 但没有将自定义的webauthn_rp_id传递给底层的WebAuthn验证过程

解决方案

正确的实现应该：

1. 同时获取origin和rp_id配置
2. 在重写的verify方法中，将rp_id作为参数传递给底层验证
3. 保持原有的origin处理逻辑不变

具体代码修改为：

origin = webauthn_origin
rp_id = webauthn_rp_id
webauthn_credential.response.define_singleton_method(:verify) do |expected_challenge, expected_origin = nil, **kw|
  kw[:rp_id] = rp_id
  super(expected_challenge, expected_origin || origin, **kw)
end

实现意义

这一修改使得：

1. 多租户系统可以在主域名和子域名间共享Passkey
2. 同时保持WebAuthn的安全特性
3. 完全符合WebAuthn规范中对RP ID的要求
4. 不会破坏现有的单域名使用场景

最佳实践建议

对于需要在多域名环境下使用WebAuthn的开发者：

1. 将RP ID设置为顶级域名(xxx.com)
2. 确保所有相关子域名都使用相同的RP ID配置
3. 测试在不同子域名间的认证流程
4. 注意浏览器对WebAuthn跨域支持的限制

总结

Rodauth项目通过这一改进，更好地支持了现代Web应用中的复杂部署场景，特别是多租户架构下的无密码认证需求。这一变更既保持了安全性，又提高了用户体验的连贯性。