我正在为以前的雇主编写一个网络爬虫,它要求我登录,如果我以前从未使用该用户登录,它还会进行两因素身份验证。
好吧...我发现在传递令牌以及用户名和密码之后,它永远不会在我的网络爬虫上要求我进行两因素身份验证,但它会在浏览器中。我什至使用从未登录过的人的测试用户名/密码来完成此操作。
通过两因素身份验证就那么容易获得吗?
在不泄露代码(出于安全原因)的情况下,发生这种情况的可能原因是什么?
有什么方法可以让这更安全吗?它是否只是在这两个因素上运行 java 脚本验证,并且由于我的网络爬虫没有 java 脚本,所以它永远不会命中它?
两因素代码要求的最合适/最安全的实现是什么?