ATHENA High-Security Approval (MVP+)

Mobile-first Freigabe mit vertrauenswürdigem Gerät + Kameraaufnahme + manueller Gesichtsbestätigung. Kein automatischer Face-Match in dieser Stufe.

1) Gerät registrieren (einmalig)

Geräte-ID

Label

Plattform

2) Freigabeanfrage erstellen oder abrufen

Action / Scope

Komponente

Grund Vorhandene Request-ID (optional)

2b) Magic-Link (einmaliger Freigabelink)

Erzeugt einen kurzlebigen, request-gebundenen Link fuer das Smartphone. Optional mit E-Mail-/Telegram-/Webhook-Versand (falls serverseitig konfiguriert).

TTL (Sek.)

Versandkanaele (CSV)

Empfaenger E-Mail (optional / ueberschreibt Default)

Magic-Link URL

3) Kameraaufnahme

Bitte challenge sichtbar/korrekt bestätigen und Gesicht frontal aufnehmen.

3b) Passkey / Fingerprint (WebAuthn, MVP++)

Empfohlen fuer unterwegs. Erfordert sicheren Kontext (HTTPS oder localhost). Auf einer reinen IP-HTTP-URL funktioniert WebAuthn in mobilen Browsern meist nicht.

4) Mobile Freigabe durchführen

Challenge Text (aus Anfrage) Challenge Nonce (aus Anfrage)

Wird beim Laden/Erstellen der Anfrage automatisch befuellt.

Ich bestätige manuell, dass das Foto mein Gesicht (Gunter) zeigt. Ich bestätige den Referenzabgleich mit dem Pass-Artefakt (manuell, falls genutzt).

Mit erfolgreicher Passkey-/Fingerprint-Pruefung (WebAuthn) ist die Kameraaufnahme optional. Ohne Passkey bleibt Foto + manuelle Gesichtsbestaetigung erforderlich.

Token TTL (Sekunden, 60-3600)

Ausgegebenes Token (scope-gebunden, single-use)