Passkey
Passkey 在 fknock 里是什么
Passkey 可以理解成:
- 建立在已有 TOTP 基础上的“一键登录方式”
- 使用设备自身的安全能力完成认证,例如指纹、面容或系统安全模块
在 敲门 knock 里,Passkey 不是拿来替代 TOTP 的,而是拿来减少你每天重复输入 6 位验证码的次数。
为什么先有 TOTP,后有 Passkey
- Passkey 是绑定在某个 TOTP 设备之下的
- 删除对应 TOTP 时,关联 Passkey 也会失效
所以最稳妥的理解方式是:
TOTP 是根凭据,Passkey 是快捷凭据。
最近 管理 Passkeys 页面已经更准确地变成了“管理快捷登录凭据”的入口。
同一个 TOTP 下面现在可能同时有:
- Passkey 设备
- 外部账号绑定
如果你想使用 Google、Microsoft、GitHub 或自定义 OIDC 登录,继续看:
什么设备适合绑定 Passkey
适合以下类型的设备:
- 你自己的常用手机
- 你自己的常用电脑
- 具有稳定系统账号和生物识别能力的设备
不建议绑定在:
- 公共电脑
- 临时借用设备
- 你很快就会重装、出售或转交他人的设备
fknock 里常见的 Passkey 绑定入口
入口一:登录成功后立即提示
当你第一次用 TOTP 成功登录后,如果:
- 当前浏览器支持 Passkey
- 当前 TOTP 还没有绑定过 Passkey
系统可能会直接弹出提示,询问你是否在当前设备上开启 Passkey 一键登录。
这是最适合第一次配置的入口。
入口二:后台管理页
路径:认证配置 → 管理 Passkeys
你可以在这里:
- 查看某个 TOTP 下已经绑定的 Passkey
- 删除不再使用的设备
绑定前需要满足什么条件
至少满足以下条件:
- 已经有一个可用的 TOTP
- 当前浏览器和设备支持 Passkey
- 最好在 HTTPS 场景下使用
特别是第 3 点很重要。
虽然某些本地场景也可能工作,但从实际使用体验出发:
- 正式证书的 HTTPS 环境通常更稳定
- 跨设备和浏览器的兼容性也更好
绑定后的登录体验
绑定成功后,支持的设备上通常会出现 Passkey 一键登录 入口。
典型流程:
- 访问 fknock 登录页
- 先完成人机验证
- 点击
Passkey 一键登录 - 使用系统提供的指纹、面容或设备解锁方式完成确认
- 登录成功
这时系统仍会:
- 创建登录会话
- 在直连模式下更新自动白名单
也就是说,Passkey 改变的是“你证明身份的方式”,不是后面的会话与白名单逻辑。
使用 Passkey 的建议
推荐这么做
- 常用私有设备绑定 Passkey
- 仍至少保留一个可用 TOTP
- 在 HTTPS 环境下优先启用
- 换设备前记得删除旧 Passkey
不建议这么做
- 只剩 Passkey,没有任何可恢复的 TOTP
- 在公共设备上绑定
- 没搞清楚归属关系就删除对应 TOTP
删除一个 Passkey 会怎样
删除 Passkey 只会影响该设备的一键登录能力,不会删除它所属的 TOTP。
所以如果你换手机、换电脑或不再信任某台设备,最合理的做法通常是:
- 删除旧设备对应的 Passkey
- 保留 TOTP
- 在新设备上重新绑定
它也不会删除同一个 TOTP 下的外部账号绑定。外部账号绑定需要在同一页的 外部账号绑定 区域单独删除。
什么时候不需要急着配 Passkey
如果你当前还处于这些阶段,就不必急着做:
- 还没准备好稳定的 TOTP
- 证书和域名还没整理好
- 你只是临时测试环境
这时先把基础链路跑通通常更重要。