-1

干杯,

我们开始在我们的 Web 系统中实施生物特征认证,并产生了疑问。我们将使用第三方解决方案来执行它,该解决方案将通过 Web 服务调用。

将有四种身份验证:

  1. 常规一:用户名/密码
  2. 挑战
  3. 指纹
  4. 手机

所有用户都将使用1进行身份验证。可选地,其中一些可能还需要234验证特定用户需要哪种身份验证类型的好方法是什么?

这对我来说是新事物。最初,我考虑将用户名从登录页面传递给 Web 服务,该服务将查询数据库以检查该用户需要哪种身份验证类型。然后,根据结果,屏幕上将显示第二个验证表单。显然,在用户点击提交按钮后会执行一些额外的检查。

我是在正确的道路上,还是有更好的解决方案?

谢谢,

4

1 回答 1

0

我想那会奏效。当填写用户名时,也许可以选择在后台进行某种查询(AJAX?),这样您就可以动态地向您的登录表单添加额外的输入。

但是,这有一个潜在的问题:知道某人用户名的每个人都可以找出需要什么身份验证。如果这不是您想要的,也许只需要求输入用户名 + 密码即可登录到降低的特权模式。然后,正如您在问题中所建议的那样,这种减少的特权模式可能需要额外的凭据才能继续进入更安全的环境。

您甚至可以这样做,以便减少权限模式将授予对某些功能的访问权限,而其他功能则需要额外的身份验证(例如:发布消息需要基本身份验证,更改密码可能需要全部四个)。

于 2010-10-31T13:35:16.530 回答