在行业中,一般是偏向或推荐哪种
有大厂正在用的方式,可以发链接看看
还有这个问题不会和前端登录密码传输是否需要加密一样都行?🤣
1
Tink 67 天前 via Android
第三方登录的话,MFA 不应该在第三方那边吗
|
2
likelylee 67 天前
oauth2 是从第三方带着身份验证完成的信息返回的,本地的没必要再额外做身份验证了,也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求,在第三方处做。
单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ,TOTP 走 HTTP 吧?这东西一起走 HTTPS 不就行了么? |
5
netnr OP 我不明白你说的意思
|