Google chrome 更改主机名/IP地址的站点上的FIDO U2F

我有一种情况，我想在负载平衡器的管理接口上实现FIDO U2F（使用YubiKey），这样在登录后，为了管理系统，U2F必须用作额外的身份验证层

在系统的整个生命周期内，IP地址和用于访问它的主机名通常会发生变化（例如，一旦发生变化，然后发生变化，然后发生变化，等等）

问题在于，一个密钥是针对一个appId（站点的URL）注册的，然后该appId被编码在keyHandle中。注册密钥时，是否有方法允许多个appId，甚至删除appId限制

---

换句话说-注册一个YubiKey，然后从网站的任何入口点使用它，或者即使使用IP地址或与密钥最初注册的域不同的域访问网站？

是的，您可以使用多个子域使注册的U2F密钥与不同的主机名一起工作。。。所以它可以是lb-admin.company.com和lb-login.company.com以及whatever.company.com等等。（不使用IP）

为此，您的AppId引用应该指向将作为TrustedFacetList处理的在线json文件

现实世界的例子。。。以下是实现此功能的官方GitHub AppID：

所有细节和规则如下所述： FIDO AppID和分面规范（分面ID）

---

问题在于，已注册的具有旧应用程序ID的U2F密钥无法用于新域。因此，我们必须请求使用新的应用程序ID注册密钥。无法找到任何方法迁移数据。