我正在为一个新项目设计一个身份验证方案。人们将能够使用 . 通过 Google/Facebook/Microsoft 等帐户进行身份验证OpenID
。所有这些提供商都支持双因素身份验证。
我的目标很简单:当用户使用 OpenID 主体注册或登录时,我想查询身份验证服务并判断用户是否启用了两因素身份验证。如果他这样做了,并且通过了两个步骤,“欢迎用户”,否则“对不起,伙计,这个网站非常安全,您必须启用双重身份验证”。
使用当前服务可以做到这一点吗?我已经阅读了谷歌文档并没有发现任何关于它的信息。由于 OpenID Connect 不支持令牌的任何“两步验证”属性,也不支持可能被利用的“强度”属性,因此我必须依赖可能泄露此类信息的特定配置文件 API。但至少在 Google API 中我还没有找到。