我已经开始摆弄U2F，它看起来真的很有前途。给自己买了一些安全 key ，并开始深入研究它。
我设法创建了一个有效的注册/登录演示网站，该网站可以使用U2F token 和U2F Chrome扩展程序很好地运行。

但是...这是我的问题出现的地方:
我还为我的Google帐户注册了一个安全 key ，但立即发现它无需使用U2F Chrome扩展程序就可以使用。事实上，我已经完成了所有的Google注册和登录，甚至没有安装扩展程序。这怎么可能？我已经阅读(某些)FIDO规范，并且看到可能有两个API级别:高-这是扩展所公开的u2f namespace ，以及-低-涉及使用MessagePort API。也许这就是Google的做法？ (也尝试过自己执行chrome.runtime.connect(...)，但chrome.runtime对象在我的网页中未定义)

由于目前在称为U2F的这个年轻项目中没有太多可用资源，因此朝着正确方向的任何指针将不胜感激，并且具有重要值(value)。

Chrome浏览器是列出Google域的白名单。非Google域现在必须使用扩展名。但是，根据Google的说法，这将很快改变-这已记录在here中，并由Google开发人员in this webinar提及。

编辑: Chrome 41不再需要该扩展。您可以在here中对其进行测试(注意:从旧版本的Chrome访问或不通过HTTPS进行访问时，该站点将退回到使用该扩展的位置)。