¡Esto es muy bueno!
Sin embargo, un pequeño detalle: en Safari/Mac, la autenticación web es una función solo para desarrolladores y viene desactivada por defecto. Cuando se habilita, funciona bien. Pero probablemente deberíamos mostrar un mensaje o una advertencia cuando la autenticación web no esté habilitada. Actualmente, en Safari por defecto, nada en la interfaz indica que el proceso de registro no funcionará (la consola muestra un error):
Podemos detectar características usando navigator.credentials, supongo.
A algunas personas les cuesta justificar el gasto adicional, aunque es agradable 
¡Argh! Verifiqué esa función en navigator.credentials.get, pero no en create. ¡Lo siento! Será una corrección rápida.
El commit más reciente parece estar funcionando. Acabo de poder usar la autenticación de dos factores (¡con huella dactilar!) en mi teléfono Android.
¡Hola, Penar! Ya tengo una corrección para esto. ¿Podrías revisarla en Safari? [FIX] Check webauthn support when registering security keys by mjrbrennan · Pull Request #8146 · discourse/discourse · GitHub. Solo no estoy seguro de si el método de detección de características que estoy usando funcionará en Safari con la característica desactivada.
Sam me ganó en la fusión, pero esto se ve bien en Safari, ¡gracias, Martin!
Correcto, pero en este caso es una parte normal del trabajo en Discourse, por lo que cubriríamos el costo. Disculpa si no quedó claro, pero ¿ahora sí lo está?
¡Felicidades por el soporte de WebAuthn! Es interesante ver que implementaron su propia solución en lugar de usar el gem webauthn. Si tienen algún comentario para nosotros, me encantaría escucharlo
Noté que en su implementación solo se admite el algoritmo -7 (ES256), pero los autenticadores de plataforma de Windows Hello (respaldados por hardware TPM 2.0) requieren -257 (RS256), según la documentación de Microsoft. El TPM 2.0 es obligatorio desde el 28 de julio de 2016 para nuevos modelos de escritorio con Windows 10, por lo que se trata de una cantidad considerable de hardware.
Una sugerencia para el boceto del “Flujo de inicio de sesión”: WebAuthn tiene un logotipo oficial que podría usarse en lugar de una imagen genérica de huella dactilar. Además de la huella dactilar, el reconocimiento facial, los patrones de deslizamiento y el PIN también son opciones comunes de verificación del usuario.
@Martin_Brennan ¿alguna opinión sobre 
Gracias por tus comentarios, Rafe. Tendremos que agregar el algoritmo adicional aquí. Y también gracias por el enlace al logotipo oficial. Mi idea al configurar solo un algoritmo fue agregar la cantidad mínima de algoritmos compatibles para que todo funcione en la V1, ya que no estaba seguro de las sutilezas entre todos los algoritmos, y ES256 se utilizaba en todos los ejemplos que pude conseguir.
En cuanto a por qué en ese momento opté por no usar el gem, lo pensé mucho y sabía que en algún momento me preguntarían sobre esta decisión. Ciertamente leí gran parte del código del gem para comprender mejor la implementación. Las razones principales fueron:
Dicho esto, esto podría haber sido un error de mi parte, y si llegamos a la V2, V3, etc., del soporte de WebAuthn con atestaciones, más algoritmos compatibles y demás, podría volverse demasiado laborioso para nosotros convertirnos en “expertos en WebAuthn”, por así decirlo. En ese punto, creo que podríamos reevaluar el uso del gem.
El soporte para el algoritmo adicional RS256 ya está integrado FEATURE: Support RS256 algorithm for webauthn by martin-brennan · Pull Request #8385 · discourse/discourse · GitHub
Parece que iOS 13.3 y macOS Catalina 10.15.2 ahora también admiten FIDO2-auth 
Esta actualización también incluye correcciones de errores y otras mejoras. Esta actualización:
- Añade soporte para claves de seguridad compatibles con FIDO2 mediante NFC, USB y Lightning en Safari
Es una lástima que los iPhones necesiten un dispositivo de terceros para ello. Espero que iOS++ lo tenga integrado con la autenticación del dispositivo y el chip de seguridad. Como Windows, macOS y Android.
¡Estoy tan emocionado de iniciar sesión en Discourse solo con mirarlo!!
En realidad, me sorprende un poco que aún no haya soporte integrado para autenticadores… pero son noticias emocionantes de todos modos. Seguiré esperando con el aliento en vilo.
He observado una posible inconsistencia en la interfaz de usuario al indicar la activación de la autenticación en dos pasos (2FA) para algunos usuarios en una instancia alojada de Discourse:
La lista de todos los usuarios «Staff» no muestra que mi cuenta tenga la 2FA activada:
La página de resumen de la cuenta sugiere que la 2FA está activada, dado que el texto del botón dice «Gestionar autenticación en dos pasos».
La sección de Autenticación en dos pasos indica que una clave de seguridad está habilitada y que el segundo factor podría desactivarse.
Otros usuarios de la misma instancia que optan por usar un autenticador basado en tokens (sin clave de seguridad) muestran el icono del candado en la lista de «todos los usuarios».
Por favor, hágamelo saber si se trata de un error en la interfaz de usuario o si simplemente añadir una clave de seguridad no es suficiente para activar la 2FA en esta plataforma.
Echaré un vistazo a esto, pero mi mejor suposición es que se trata simplemente de un error de interfaz de usuario en la lista de usuarios, si la sección real de 2FA de la interfaz muestra todo correctamente. ¡Gracias por el informe!
Ese era el problema. La corrección se está compilando aquí y la fusionaré en cuanto pueda FIX: Admin user list not showing 2FA icon for only security keys enabled by martin-brennan · Pull Request #8839 · discourse/discourse · GitHub
Edición: Esto ya está solucionado.
Bienvenido al nuevo mundo valiente
Apple se ha unido a la Alianza FIDO (también conocida como Fast Identity Online), una organización que ya incluye a gigantes como Google, Intel, Microsoft y Samsung.
Esto funciona con TouchID / FaceID en iOS 14.
