reg*_*low 3 rest basic-authentication node.js two-factor-authentication
我正在实现一个REST API,它同时包含移动应用程序和基于浏览器的客户端和用户.基于我在此处以及在security.stackexchange中提出的问题以及之前的问题,我得出的结论是,尽可能长时间保持"RESTful",SSL基本身份验证对于身份验证已足够.问题是我还想实现双因素身份验证.是否可以在401 Authorization标头响应中添加标头,例如username:password:token,或者在完全独立的请求标头中,但在与客户端的基本auth响应相同的有效负载中?由于我正在使用node.js + express/connect,因此我可以访问整个HTTP协议堆栈,但出于可伸缩性的考虑,希望保持尽可能安静.在浏览器方面,
从技术上讲,您可以构建新的身份验证方案以从HTTP Basic Auth扩展,但浏览器通常不支持它们.在您的示例中,我不相信任何浏览器都能够原生地要求并发送用户名:password:token,就像他们可以轻松要求用户名和密码一样.
通常,双因素身份验证方案通过使用您在第二个示例中提到的某种形式的会话将用户置于中间状态来工作.已通过第一个因素的用户,通过Basic Auth说出用户名/密码,会话已打开但未标记为真正登录,直到他们也传递第二个因子.输入加密狗代码或类似的东西.一旦两个因素都通过,他们的会话就会被标记为完全登录,他们可以访问他们的帐户/数据/其他任何内容.
| 归档时间: |
|
| 查看次数: |
1934 次 |
| 最近记录: |