มาตรฐานนี้เป็นการขยายเอพีไอ Credential Management ของ W3C ซึ่งเป็นเอพีไอที่ระบุปฏิสัมพันธ์ระหว่างเว็บไซต์กับเว็บบราวเซอร์เมื่อแลกเปลี่ยนข้อมูลยืนยันผู้ใช้คือ เอพีไอของเว็บออเทนทิเคชัน[30][31]จะขยายเมทอดจาวาสคริปต์ คือ navigator.credentials.create() และ navigator.credentials.get() ให้รับพารามิเตอร์เพิ่มคือ publicKeyโดยเมทอด create() จะเอาไว้ลงบันทึกออเทนทิเคเทอร์ให้สัมพันธ์กับบัญชีผู้ใช้ โดยอาจทำเมื่อสร้างบัญชีใหม่ก็ได้ แต่มักทำเมื่อเพิ่มอุปกรณ์ความปลอดภัยใหม่ในบัญชี และเมทอด get() เอาไว้ยืนยันการพิสูจน์ผู้ใช้ (เช่นเมื่อลงชื่อเข้าบัญชี)

สามารถตรวจสอบว่าเว็บบราวเซอร์รับรองเว็บออเทนได้หรือไม่โดยตรวจดูว่าส่วนประสาน window.PublicKeyCredential นั้นมีกำหนดไว้หรือไม่มาตรฐานยังกำหนดส่วนประสานอื่นๆ อีกรวมทั้ง AuthenticatorResponse, AuthenticatorAttestationResponse และ AuthenticatorAssertionResponse

เอพีไอไม่อนุญาตให้เข้าถึงหรือจัดการกุญแจส่วนตัวได้โดยตรงนอกเหนือไปจากการสร้างกุญแจขึ้นใหม่ในเบื้องต้น