我一直在试图找到我的问题的答案,但我什至没有在任何地方看到我的问题被问到。
我的问题是,我有一个站点,它需要 3 条信息才能登录并执行 90% 的功能、用户名/密码和安全问题的答案。用户将能够“注册设备”,因此不会询问安全问题。这不是最难的部分(我认为),我可以修改 ADFS 站点以轻松做到这一点,或者很多博客文章都这么说。
问题是,在站点的某些部分,我们需要使用“带外”问题来要求额外的安全性。我们已经拥有与该服务供应商交互的所有代码,但是,我们希望使用 ADFS 或其他一些 IP/STS 来进行实际身份验证,这样它就与应用程序分离,其他应用程序可以使用相同的身份验证一块也是。
有没有人做过这样的事情,甚至有可能吗?我发现的所有内容都只显示了一次身份验证并使用了一个 STS。我发现一个小广告说您可以使用 wauth 参数来请求类型,但如果他们未能通过“增强”安全性的身份验证,那么 STS 会使我们不想要的整个令牌无效。我们还希望这个令牌在一段时间后自动失效。