PHP download

Download the PHP package d3/oxid-twofactor-passwordless without Composer

On this page you can find all versions of the php package d3/oxid-twofactor-passwordless. It is possible to download/install these versions without Composer. Possible dependencies are resolved automatically.

Table of contents
Download d3/oxid-twofactor-passwordless
More information about d3/oxid-twofactor-passwordless
Files in d3/oxid-twofactor-passwordless

Vendor d3
Package oxid-twofactor-passwordless
Short Description Passwordless login for OXID eShop (Webauthn / FIDO2 based)
License GPL-3.0-or-later
Homepage https://www.oxidmodule.com/

Keywords login modules eshop token yubikey public key 2fa OXID credential d3 two factor Passwordless FIDO2 webauthn second factor CTAP solokey passkey

FAQ

After the download, you have to make one include require_once('vendor/autoload.php');. After that you have to import the classes with use statements.

Example:

If you use only one package a project is not needed. But if you use more then one package, without a project it is not possible to import the classes with use statements.

In general, it is recommended to use always a project to download your libraries. In an application normally there is more than one library needed.

Some PHP packages are not free to download and because of that hosted in private repositories. In this case some credentials are needed to access such packages. Please use the auth.json textarea to insert credentials, if a package is coming from a private repository. You can look here for more information.

Some hosting areas are not accessible by a terminal or SSH. Then it is not possible to use Composer.
To use Composer is sometimes complicated. Especially for beginners.
Composer needs much resources. Sometimes they are not available on a simple webspace.
If you are using private repositories you don't need to share your credentials. You can set up everything on our site and then you provide a simple download link to your team member.
Simplify your Composer build process. Use our own command line tool to download the vendor folder as binary. This makes your build process faster and you don't need to expose your credentials for private repositories.

Please rate this library. Is it a good library?

Informations about the package oxid-twofactor-passwordless

Passwortloses Anmelden für OXID eShop

Mit diesem Modul kann die Anmeldung im OXID-Shop mit einem hardwarebasierten Anmeldeschlüssel (WebAuthn / FIDO2 basierter passkey) anstelle eines Passworts durchgeführt werden.

Hierbei wird die Anmeldung im Frontend und (sofern für den Benutzer erlaubt) auch im Backend gesichert.

Anmeldeschlüssel stammen von Geräten, die kryptografische Schlüssel beeinhalten. Diese können für die Zwei-Faktor-Authentifizierung verwendet werden. Das Anmeldeschlüsselgerät muss den Standard "WebAuthn" unterstützen.

Die Schlüsselverwaltung erfolgt im Adminbereich sowie im "Mein Konto" des Benutzers.

Inhaltsverzeichnis

Was ist FIDO2?
Modulinstallation
Verwendung
Konfiguration
Changelog
Beitragen
Lizenz
weitere Lizenzen und Nutzungsbedingungen

Was ist FIDO2?

Es ermöglicht die sichere Authentisierung des Benutzers in webbasierten Benutzeroberflächen über einen Browser. Statt eines Passworts (Faktor "Wissen") meldet man sich mit einer speziellen Hardware an, die zur Prüfung die starke Public Key cryptography verwendet (Faktor "Besitz"). FIDO2-Anmeldungen können durch die Art der Umsetzung nicht mit Phishing abgefangen werden.

FIDO2 beschreibt den gesamten Authentisierungsprozess, WebAuthn und CTAP sind Unterbestandteile dieses Prozesses. Bei CTAP handelt es sich um die Kommunikation vom FIDO2-Gerät zum Client / Browser. WebAuthn übernimmt die Übermittlung vom Browser zur Anwendung (Shop).

Zur Anmeldung ist jede FIDO2-zertifizierte Hardware nutzbar. Das können sein:

Cross-Platform Authenticators (geräteunabhängig):
- USB-Tokens (z.B. Solokey oder YubiKey),
- NFC-Sender
- Bluetoothsender
- Smartcards
Platform Authenticators (geräteabhängig)
- Face ID Geräte
- Windows Hello Geräte
hybride Authenticators
- Smartphones mit Touch ID (Android ab Version 7, iOS ab Version 14),

FIDO2 kann verwendet werden als:

ein zusätzlicher 2. Faktor zur bisherigen Benutzername-Passwort-Kombination
als sicherer Ersatz statt eines Passworts (passwortlos, noch in Verbindung mit der Eingabe eines Benutzernamens)
als kompletter Ersatz für Benutzernamen und Passwort (mit im FIDO2-Gerät abgelegten Anmeldedaten)

In diesem Modul ist derzeit die passwortlose Anmeldung umgesetzt (2. Option). Für die 1. Optionen sehen wir einen zu geringen Sicherheitsgewinn gegenüber Option 2. Die Umsetzung der 3. Option ist technisch machbar, jedoch für den normalen Einsatzbereich wenig relevant und technisch aufwändig. Bei Bedarf stehen wir gern für Anfragen zur Verfügung.

Bei der Registrierung eines FIDO2-Keys werden Zugangsdaten erstellt, um einen späteren Anmeldeversuch prüfen zu können. Diese Zugangsdaten sind fest an das Kundenkonto und an den Shop gebunden und nicht untereinander austauschbar.

Systemanforderungen

Dieses Paket erfordert einen mit Composer installierten OXID eShop in einer der folgenden Versionen:

6.3.x
6.4.x
6.5.x

und dessen Anforderungen.

Im Standard wird das Flow- und Wave-Theme unterstützt. Andere Themes können Anpassungen erfordern.

Modulinstallation / -update

Öffnen Sie eine Kommandozeile und navigieren Sie zum Stammverzeichnis des Shops (Elternverzeichnis von source und vendor). Führen Sie die folgenden Befehle aus. Passen Sie die Pfadangaben an Ihre Installationsumgebung an.

Wird ein Hinweis auf ein unpassendes Paket "symfony/process" gezeigt, muss dieses geändert werden. Fügen Sie dazu in den oben genannten Befehl bitte den Schalter -W ein (... require -W ...).

Aktivieren Sie das Modul im Shopadmin unter "Erweiterungen -> Module".

Verwendung

Die Eröffnung des Shopkontos erfolgt (wie gewohnt) mit Benutzername und Passwort. Im Anschluss lassen sich FIDO2-Keys als zusätzliche Authensierungsmöglichkeit hinzufügen. Ab diesem Moment kann die Anmeldung im Shop (Frontend und Backend) entweder mit FIDO2 oder mit Passwort erfolgen. Beides funktioniert unabhängig voneinander.

Die Anmeldung mit Passwort unterscheidet sich nicht vom Shopstandard und bleibt als Rückfalloption weiterhin bestehen.

Zur Verwendung der registrierten FIDO2-Keys wird bei der Anmeldung einfach das Passwortfeld leer gelassen. Sobald in das Passwortfeld mindestens ein Zeichen eingegeben wurde, wird von einer Anmeldung mit Passwort ausgegangen. Bei leerer Übergabe des Passwortfeldes wird auf die Existenz einer Keyregistrierung geprüft und im Erfolgsfall das entsprechende Gerät angefordert. Liegt keine Registrierung vor, wird ebenfalls von einer Anmeldung mit Passwort ausgegangen.

Die Keys können einfach im Mein-Konto-Bereich des Frontends und auch im Kundenkonto im Backend verwaltet werden. Die Verwaltung umfasst das Registrieren neuer Keys (mehrfache Keys pro Konto sind möglich und empfohlen). Jedem Key kann ein Freitextname zugeordnet werden. Weiterhin werden alle registrierten Keys mit ihrem Namen dargestellt. Ebenso sind registrierte Keys dort löschbar.

Da bei einer FIDO2-basierten Anmeldung kein Passwort mehr benötigt wird, kann das Backupkennwort auch komplexer als alltagstaugliche Passworte sein.

Konfiguration

Verwendete Optionen:

erlaubt Platform und Cross-Platform Authenticators
definiert keine Schnittstellen-Einschränkungen (USB, NFC, ...)
User Verification empfohlen, aber nicht erforderlich
- nicht alle Browser können z.B. die PIN bei Cross-Platform Authenticators anfordern, bei User Verification sind diese Browser von der Verwendung ausgeschlossen
fordert keine Attestation an
keine Abfrage von auf dem Gerät gespeicherter Benutzerdaten
Timeout: 60 Sekunden

Alle weiteren Optionen sind durch Überladungen frei an individuelle Erfordernisse anpassbar.

Changelog

Siehe CHANGELOG für weitere Informationen.

Beitragen

Wenn Sie eine Verbesserungsvorschlag haben, legen Sie einen Fork des Repositories an und erstellen Sie einen Pull Request. Alternativ können Sie einfach ein Issue erstellen. Fügen Sie das Projekt zu Ihren Favoriten hinzu. Vielen Dank.

Erstellen Sie einen Fork des Projekts
Erstellen Sie einen Feature Branch (git checkout -b feature/AmazingFeature)
Fügen Sie Ihre Änderungen hinzu (git commit -m 'Add some AmazingFeature')
Übertragen Sie den Branch (git push origin feature/AmazingFeature)
Öffnen Sie einen Pull Request

Lizenz

(Stand: 25.10.2022)

Vertrieben unter der GPLv3 Lizenz.

Die vollständigen Copyright- und Lizenzinformationen entnehmen Sie bitte der LICENSE-Datei, die mit diesem Quellcode verteilt wurde.

weitere Lizenzen und Nutzungsbedingungen

ArrayBuffer to Base64 converting JavaScript [MIT]

(https://gist.github.com/jonleighton/958841 - Stand: 04.11.2022)

All versions of oxid-twofactor-passwordless with dependencies

PHP Build Version

Package Version

Version 1.0.0.0 Release 26. May 2023
create-project require 0 people chose require and
0 people chose create-project.

Download

Download latest version of oxid-twofactor-passwordless from vendor d3

Requires php Version >=7.4
oxid-esales/oxideshop-ce Version 6.8 - 6.14
web-auth/webauthn-lib Version ^3.3
nyholm/psr7 Version ^1.5.1
nyholm/psr7-server Version ^1.0.2
ext-json Version *
d3/testingtools Version ^1.1
d3/oxid-dic-handler Version ^1.0
beberlei/assert Version ^3.2

Composer command for our command line client (download client) This client runs in each environment. You don't need a specific PHP version etc. The first 20 API calls are free. Standard composer command

The package d3/oxid-twofactor-passwordless contains the following files

Loading the files please wait ....