如何在Node.js中设置WebAuthn以实现无密码生物识别登录

JWT认证存在被盗令牌仍然有效的问题，WebAuthn通过将私钥保留在用户设备上来增强安全性。

WebAuthn使用非对称加密，确保每次登录依赖于新挑战，从而提升身份验证的安全性。

JWT的弱点在于长时间信任可重用的令牌，WebAuthn提供更强的身份验证证明。

WebAuthn的注册过程包括生成注册选项、用户设备创建密钥对和服务器验证。

WebAuthn的认证过程通过挑战-响应机制验证用户身份，确保安全性。

WebAuthn替代长时间有效的JWT，采用短期会话和针对敏感操作的逐步验证。

多设备和恢复逻辑确保用户在丢失设备时不会被锁定，支持备份设备。

敏感操作需要新的WebAuthn验证，确保用户在进行重要操作时的身份安全。

WebAuthn改变了信任的基础，从可重用的令牌转向设备绑定的加密证明。