这是可能的，但是您需要牢记一些注意事项。

Webauthn 基本上由Authenticator对 Web 应用程序提供的挑战进行签名（技术术语：Relying Party）工作。在标准流程中，挑战是由 Web 应用程序随机生成的，但它只是一个字节串，因此理论上，您可以在其中放置任何内容，例如文档的哈希值。

现在，警告：

1. 随机挑战是为了防止重放攻击。当你用哈希替换它时，它就变得确定了。对于文档签名方案来说，这可能不是问题，但了解这些限制很重要。

2. Authenticator 实际上签署的不是挑战，而是一对客户端数据和验证器数据（前者包含挑战）。因此，在验证签名时，仅拥有文档是不够的。

   • 客户端数据不难重构——您只需要签名文档（计算其哈希值，从而计算挑战值）和Web 应用程序的来源https://docsign.example.com（例如）。
   • 另一方面，身份验证器数据是由身份验证器设备生成的，因此无法重新创建它。您唯一的选择是将其与文档的签名一起存储。

实际上，这意味着当您调用 时navigator.credentials.get()，它会产生一个PublicKeyCredential，除了其他内容之外，它的对象中将包含三个有趣的字段： 、和。当然，您会想要保留签名，但为了在将来可以验证它，您还需要保留身份验证数据并始终随身携带签名（甚至可以说您的签名由和）。如果您愿意，您也可以保留，但您不必保留，因为它很容易重构（假设验证者知道用于签名的服务的域）。responseclientDataJSONauthenticatorDatasignature signatureauthenticatorDataclientDataJSON

是的，这是可能的

Web Authentication API 的安全挑战可以是任何字节数组（至少 16 个字节），并且它将由客户端安全私钥签名。因此，它也可用于通过PublicKeyCredentialRequestOptions.challenge在对 的调用中将文档作为 a 传递来签署所有类型的文档或消息navigator.credentials.get()。

PublicKeyCredential调用返回的包含一个属性response，该属性包含一个属性，该signature属性是您要查找的签名。

developer.mozilla.com 的示例代码稍作修改以适合您的用例：

fetch(/* get file from server */).then(response => response.arrayBuffer()).then(fileFromServer => {
    const options = {
        challenge: fileFromServer,
        rp: {
            name: "Example CORP",
            id  : "login.example.com"
        },
        user: {
            id: userId,
            name: "jdoe@example.com",
            displayName: "John Doe"
        },
        pubKeyCredParams: [
            {
                type: "public-key",
                alg: -7
            }
        ]
    }
    
    navigator.credentials.get({  publickey: options })
        .then(function (pubKeyCredential) {
            const signature = pubKeyCredential.response.signature

            fetch(/* Send signature to server */)
    }).catch(function (err) {
      // Deal with any error
    })
})