从文字角度来看,我不喜欢使用“Web Authn”这个术语,我认为这会让最终用户感到困惑,不如直接使用“安全密钥”之类的说法。
我非常希望暂时避免考虑“第一因素/无密码”认证的问题。对我们来说,必须先推出这项功能,并运行 3 到 4 个月,之后才考虑相关事宜。
特别是因为我们已经支持通过电子邮件登录,所以用户理论上可以忘记密码。
我同意流程应该是:如果你具备相关条件、拥有 API 以及 WebAuthn 密钥,则优先尝试 WebAuthn,但同时为用户提供退出选项。另外请注意,用户可能拥有多个 WebAuthn 设备,建议参考 Google 在此方面的处理方式(例如提供“选择其他选项”的链接)。
关于长期规划,我想到一个独立的事项:我们可以利用“Discourse 应用”来实现两步验证(2FA),这将会非常棒,@pmusaraj。这将使两步验证的普及程度大大提高。