我有一个 Cognito 用户池,它的 MFA 设置为Required只有TOTP(即没有 SMS)。
我的问题是如何为用户重置 MFA?例如,如果用户丢失了他的手机,因此他无论如何都无法登录怎么办。
我尝试过重置密码,但这只会重置密码,不会删除 MFA。
在此AWS 文档的底部,它说
注意API 中当前不提供删除 TOTP 软件令牌操作。此功能计划在未来的版本中使用。使用 SetUserMFAPreference 为单个用户禁用 TOTP MFA。
所以我尝试了SetUserMFAPreference,AdminSetUserMFAPreference他们只是返回 200 OK 但实际上并没有禁用 MFA。我猜这是由于用户池已将 MFA 设置为Required.
此时,由于 AWS 不支持重置 MFA(如果您的用户池需要 MFA - 禁用 MFAAdminSetUserMFAPreference将返回 200 OK 但它不会执行任何操作),唯一的方法是创建一个具有可选 MFA 的新用户池(您必须创建一个新的,因为一旦创建了用户池,就禁止从requiredto更改)。optional然后使用新的用户池,您必须在代码中手动强制执行 MFA(如果这是您想要的)。
为此,一旦用户成功登录并且返回对象中包含令牌,您必须调用AssociateSoftwareToken而不是返回令牌并开始 MFA 注册过程。只有当用户成功完成调用时,令牌(如IdToken)才会返回给用户AdminRespondToAuthChallenge。
最重要的是,使用可选的 MFA,AdminSetUserMFAPreference它将起作用。这是在 AWS 上的用户池中重置 MFA 的唯一方法(此时)。
[更新]
并不是说我的原始答案无效,只是为了提供更多信息,这里有一些关于如何使用的额外说明AdminSetUserMFAPreference:
首先,您需要一个带有可选MFA 的用户池。可选的是这里的关键字。此解决方案不适用于具有所需 MFA 的用户池。
设置用户池后,我假设有一个用户正确注册了您的用户池。这意味着他们可以根据您的用户池对自己进行身份验证,而不会出现任何问题。当然,重点是他们需要在身份验证过程中提供 MFA。但由于我们已经建立,MFA 在您的用户池中是可选的,因此如果您坚持对您的用户强制执行 MFA,这意味着您必须在您的代码中手动执行此操作。
好的,到目前为止,每个人都很高兴。但正如现实一样,悲伤的日子来了。您的用户丢失了他们的 MFA 代码,并且无法生成任何新代码。因此,您希望为他们提供通过重新注册新设备来重置其 MFA 的可能性。当然,首先,您需要确保请求此类内容的是实际用户。我的意思是您不希望任何人(但真正的用户)能够提出这样的请求。因此,您需要先对它们进行身份验证。但他们无法进行身份验证(由于缺少 MFA)这一事实是他们最终来到这里的全部原因。那么你现在能做什么呢?好吧,尽管这部分超出了本文的范围,但作为一个小提示,您可以向他们发送一封包含代码的电子邮件,并要求他们将其作为一次性身份验证机制返回给您。
好的,回到手头的问题。现在,您可以确定请求重置 MFA 的是实际帐户所有者。这就是你的做法:
async function resetMfa(username) {
const cognito = new AWS.CognitoIdentityServiceProvider();
await cognito.adminSetUserMFAPreference({
UserPoolId: "user pool ID",
Username: username,
SoftwareTokenMfaSettings: {
Enabled: false,
}
}).promise();
}
一旦他们的 MFA 被禁用,为了重新注册新设备,帐户所有者必须尝试新的登录。这种尝试就像他们第一次登录他们的帐户一样,他们将被要求注册一个新的 MFA 设备。
我希望这能进一步澄清一些事情。如果您想知道如何(手动)使用 MFA,我有另一个帖子来解决它。
我发现即使在将用户添加到用户池之后,也可以将 MFA 设置更改为“必需”。因此,您不必创建另一个用户池。
从控制台更改它是不可能的,但是 aws cli(可能通过 set_user_pool_mfa_config() API)可以像这样更改它:
% aws cognito-idp set-user-pool-mfa-config --user-pool-id <userpool_id> --mfa-configuration ON --software-token-mfa-configuration Enabled=true
虽然我找不到删除/更改“每个用户的 MFA (OTP)”的方法。
实际上,您需要更改用户的设置,而不是首选项。
删除 MFA var cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider();
var params = {
UserPoolId: poolData.UserPoolId,
Username: userid, /* required */
MFAOptions: [ /* required */
]
};
cognitoidentityserviceprovider.adminSetUserSettings(params, function(err, data) {
if (err) reject(err); // an error occurred
else resolve(data); // successful response
});
添加/更改 MFA:
var cognitoidentityserviceprovider = new AWS.CognitoIdentityServiceProvider();
var params = {
UserPoolId: poolData.UserPoolId,
Username: userid, /* required */
MFAOptions: [ /* required */
{
AttributeName: 'phone_number',
DeliveryMedium: 'SMS'
}
]
};
cognitoidentityserviceprovider.adminSetUserSettings(params, function(err, data) {
if (err) reject(err); // an error occurred
else resolve(data); // successful response
});
您可以给每个用户一个恢复代码,然后编写一个通过 API 端点公开的 Lambda,检查他们是否提交了正确的恢复代码。如果是这样,您可以在 Lambda 中调用以下命令来禁用用户的 MFA:
const result = await cognito
.adminSetUserMFAPreference({
UserPoolId: AmplifyConfig.Auth.userPoolId,
Username: userid,
SoftwareTokenMfaSettings: {
Enabled: false,
PreferredMfa: false,
},
})
.promise();
在检查这些恢复代码时,一定要使用类似的东西crypto.timingSafeEqual来防御定时攻击。