使用第三方登录 OAuth2 ,如果开启了 MFA(TOTP),还要输入校验码吗

46 天前
 netnr

在行业中,一般是偏向或推荐哪种

有大厂正在用的方式,可以发链接看看

还有这个问题不会和前端登录密码传输是否需要加密一样都行?🤣

951 次点击
所在节点    问与答
7 条回复
Tink
46 天前
第三方登录的话,MFA 不应该在第三方那边吗
likelylee
46 天前
oauth2 是从第三方带着身份验证完成的信息返回的,本地的没必要再额外做身份验证了,也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求,在第三方处做。
单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ,TOTP 走 HTTP 吧?这东西一起走 HTTPS 不就行了么?
netnr
46 天前
@Tink @likelylee 看附言 1
julyclyde
46 天前
@netnr 一样的啊,就算是同一家做的,也得分两个相互独立的角色
netnr
46 天前
我不明白你说的意思
Tink
45 天前
@netnr #3 自身的 MFA 肯定是适用于自身的登录系统,第三方带过来的应该是登录成功的 cookie
likelylee
45 天前
@netnr 那看你们自己身份认证系统的实现了啊,举个例子,假设你们接收到身份认证请求,第一步到密码验证系统去完成密码验证,通过后第二步到 MFA 那验证 TOTP ,通过后第三步通知其他系统说身份验证完成。正经的 oauth 应该是直接接入到第三步位置告知其他系统身份验证完成才合理,如果你拿 oauth 挂在第二步前头用来代替密码验证系统,那当然在 oauth 之后就需要 MFA 了,可能的好处是你们“可以”不用管理用户名密码这些东西。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1080650

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX