Mik*_*lly 7 authentication single-sign-on oauth-2.0
我有一个带有保密PII的应用程序(社会安全号码,工资单信息).为方便起见,我希望用户能够使用OAuth ID(Google,Linked In)登录,但要求这些帐户在身份提供商中启用了多重身份验证,例如,如果用户未启用MFA,则无法通过OAuth2登录他们的基础身份提供者帐户 这使我可以避免将我的机密信息暴露给弱GMail密码.
有没有办法做到这一点?
很不幸的是,不行。
对于 Google 和 Linkedin,身份验证级别不与特定范围相关联。Oauth 响应未指定用户是否使用 OTP 令牌。
即使用户注册了 MFA,用户也可以将他正在使用的计算机注册为可信计算机,在这种情况下,Google 永远不会提示他输入 OTP。此行为可能会阻止许多用户访问您的应用程序。
| 归档时间: |
|
| 查看次数: |
4252 次 |
| 最近记录: |