Logins für Websites mit WebAuthn erstellen

WebAuthn ist ein junger Webstandard zur Anmeldung an Websites ohne Passwort. Dafür muss man nur wenige Schritte implementieren. Bibliotheken gibt es bereits.

Artikel verschenken

1

16.08.2019, 06:01 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

Jan Mahn

Logins für Websites mit WebAuthn erstellen
- Reines Javascript
- Starten
- Anfrage-Odyssee
- JSON-Objekt vorbereiten
Nutzerinteraktion

Artikel in c't 18/2019 lesen

Wie meldet man sich an einer Website an? Mit einem Kennwort – für die meisten Nutzer ist das noch immer der einzig vorstellbare Weg. Technisch gesehen handelt es sich um ein gemeinsames Geheimnis zwischen Nutzer und Server. WebAuthn, das Teil des FIDO2-Standards ist, schafft dieses Prinzip ab und ersetzt es durch öffentliche und private Schlüssel. Der Nutzer besitzt einen Authenticator (zum Beispiel einen U2F-Stick) und gibt dem Server den öffentlichen, aber niemals den privaten Schlüssel. Um WebAuthn in Aktion zu erleben, und zwar nicht nur in einer Online-Demo, sondern auf einem eigenen Server, muss man selbst Hand anlegen.

Das Beispiel-Projekt für diesen Artikel ist als Zusammenstellung von Microservices aufgebaut, verpackt in zwei Container. Das bringt den Vorteil mit sich, dass Sie Frontend und Backend später unabhängig voneinander in anderen Projekten einsetzen können.

Reines Javascript

Das Frontend besteht aus statischen HTML-Seiten, die ein nginx-Webserver ausliefert. So weit, so unspektakulär. WebAuthn funktioniert mit reinem JavaScript. Um die nötigen HTTP-Aufrufe etwas schöner zu verpacken, kommt im Beispiel die JavaScript-Bibliothek jQuery zum Zug, die zwar etwas aus der Mode gekommen, aber leicht zu lesen ist. Nutzer von modernen Frontend-Frameworks wie Vue.js oder React können die entscheidenden Stellen schnell in ihre Welt übertragen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

Der MG4 ist das meistverkaufte Elektroauto aus China. Mit der größeren Batterie wird es deutlich teurer, doch wie viel weiter kommt man nach dem Upgrade?

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Daten transportieren oder Backups erstellen klappt mit modernen Flash-Medien ratzfatz. Wem eine USB-SSD zu groß ist, der greift zum Stick.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Logins für Websites mit WebAuthn erstellen

Reines Javascript

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Elektroauto MG4 Trophy im Test: Bestseller mit Batterie-Upgrade

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.