主要观点：开发基于密码钥匙（passkey）的身份验证解决方案及密码钥匙智能时面临诸多挑战、陷阱和误解，旨在帮助开发者避免常见错误，使互联网更安全。
关键信息：

• 开发者起初认为创建和使用密码钥匙简单，实际实施中发现远比想象复杂，如需考虑多后端 API 端点、 fallback 方案、用户验证等。
• 密码钥匙登录时要确定何时开始认证流程以避免失败，需考虑设备是否支持、密码钥匙是否存在等情况。
• 从浏览器无法直接检测设备上的密码钥匙可用性，需通过其他方法判断，且用户代理在设备识别方面效果不佳。
• WebAuthn 标准虽开放但难读懂，需了解不同级别及相关复杂性。
• 密码钥匙管理 UI 建设有其复杂性，如正确使用excludeCredentials属性、处理服务器端删除密码钥匙等。
• 密码钥匙在一些常见用例上仍有不足，如设备端删除密码钥匙的信息传递、自动转换账户等。
• 密码钥匙的用户体验（UX）/用户界面（UI）虽有优势但仍需考虑多方面，如不同操作系统的登录模式、优化登录体验等。
• 条件式 UI（Conditional UI）能提供良好登录体验，但存在一些限制和需要改进之处。
• 密码钥匙在不同浏览器中的行为和用户体验存在差异，需考虑多种因素。
• 密码钥匙的可用性不等于可访问性，登录时需检测设备和用户是否拥有可用密码钥匙。
• QR 码在跨设备认证中有优势但也存在问题，如可能导致用户困惑。
• 密码钥匙的测试具有挑战性，包括安全上下文要求、本地测试困难、调试复杂等。
• 简单将密码钥匙添加到现有认证解决方案中并不容易，需适应现有数据库和流程等。
• 尽管实施密码钥匙有难度，但随着消费者体验其优势，它将成为主流，开发者可借助相关工具和社区快速实施。
  重要细节：
• 以创建密码钥匙为例，需考虑多个方面，如后端 API 端点调用顺序、 fallback 方案、用户验证、检测已存储密码钥匙、支持跨设备注册和硬件安全钥匙、适配后端和数据库、实施密码钥匙特定的用户体验等。
• 密码钥匙登录时，不同设备和场景下的情况各异，如 Windows 10 或 11 桌面无蓝牙、设备绑定密码钥匙、第三方密码钥匙提供者等，需确保登录流程成功。
• 对于用户代理，Safari 仍有效，Chromium 和 Firefox 已减少用户代理细节，需使用客户端提示（client hints）来识别设备，且需支持两种方法以提供密码钥匙智能。
• WebAuthn 标准复杂，不同级别有不同特点和变化，需关注相关 GitHub 问题、标准提交、浏览器特征请求等以保持更新。
• 密码钥匙管理 UI 中，添加和删除密码钥匙有特定要求和注意事项，AllowCredentials列表的处理需根据具体需求决定。
• 常见用例如设备端删除密码钥匙、自动转换账户、更改密码钥匙关联元数据等存在问题，影响用户体验。
• 密码钥匙的 UX/UI 设计需考虑产品管理的多个方面，如支持的设备、用户验证方式、提供的模拟图、处理错误等。
• Conditional UI 有多种登录模式和注意点，可利用LocalStorage优化登录体验。
• 不同浏览器在密码钥匙相关界面和行为上有差异，需考虑多种操作系统和浏览器组合。
• 密码钥匙的可用性和可访问性需同时检测，密码钥匙智能可结合信息进行决策。
• QR 码在跨设备认证中可能导致用户困惑，需注意其出现时机和相关浏览器行为。
• 密码钥匙测试困难，包括安全上下文要求、本地测试挑战、调试复杂等。
• 将密码钥匙添加到现有认证解决方案中，需适应现有数据库和流程，考虑逐步推出等。

总结：开发密码钥匙相关解决方案充满挑战，需全面考虑多个方面，借助相关资源和工具，以实现安全便捷的登录体验。