我的应用程序使用用户名/密码的双重身份验证,后跟通过 SMS 或电子邮件发送给用户的代码。我一直在使用 cookie 来记住用户,但现在我想在 OWIN 的帮助下在 OAuth 中使用不记名令牌。
OAuth 是否以某种方式解决了两因素身份验证?如果不是,那么执行以下操作会不是一个好主意:
- 客户端发送(发布)用户凭据到
/api/authentication(ApiController)- 如果凭据错误,服务器将响应
400 Bad Request - 如果凭据正确,服务器会生成一个代码并通过 SMS 将其发送给用户。然后它用
401 Unauthorizewith响应WWW-Authenticate: ???客户端
- 如果凭据错误,服务器将响应
- 客户端将代码发送到
/token(OAuth)grant_type=password&username={code}