我正在使用 Authy API 进行 TOTP 身份验证。许多用户更喜欢使用 google 身份验证器,并且不想下载 Authy 应用程序。因此,我使用此处提到的 authy API 来获取 Google Authenticator 的 QR 码(https://www.twilio.com/docs/authy/api/one-time-passwords#other-authenticator-apps)。
我在这里看到的一个安全问题是,用户可能希望不时更改他们的身份验证器密码,而 twilio 没有直接的 API 来更新密码。有没有办法达到这个结果?
我能想到的一种解决方案是删除使用并创建一个新的,但我希望找到更好的选择。
Twilio 开发人员布道者在这里。
每次您向 API 发出请求以生成新的密钥和 QR 码时,旧的都会失效。因此,要更新用户的密码,只需再次请求相同的 API。
不过,这似乎是一个边缘案例,我可能会建议您等待用户提出请求,而不是构建您不一定需要的功能。
如果您正在寻找自动令牌管理,那么使用 Authy 应用程序和 Authy 生成的令牌是最佳选择。由于应用程序和 API 一起工作,Authy 可以自动滚动令牌,而无需用户担心。
编辑
我们在文档中添加了以下内容,以便将来澄清这一点:
请注意,每个二维码请求都会生成一个唯一的 TOTP 种子。因此,每个受保护站点的每个用户只能拥有一个活动 QR 码。为用户请求额外的 QR 码将使之前的秘密无效并生成新的 QR 码。