问题标签 [two-factor-authentication]

我将 Django 与 django-two-factor-auth 一起用于我的 Web 应用程序。我现在可以通过 Twilio 发送 SMS 并验证它，但我还没有弄清楚如何在需要时重新发送 SMS 代码，即单击“没有收到您的代码？重新发送！”。

我已阅读django-two-factor-auth 文档，但找不到任何有关实现此功能的信息。

我是否需要以某种方式配置 django-two-factor-auth，或者自定义 lib（这是我不太喜欢做的）？

请你帮助我好吗？感谢您的时间 ：）

因此，我获得了一个二维码，用于对一个知名网站 (bitstamp.net) 进行双重身份验证。

当我扫描二维码时，我得到一个原始的 otpauth URI：

（上面的userid设置为“000000”，秘籍乱七八糟……）

现在，当我在命令行中输入以下内容时（Ubuntu 14.04，时钟是最新的）

我得到一个 6 位数字：

这个号码打错了！！！

当我将完全相同的二维码扫描到 Google Authenticator（在 Android 手机上）时，它给了我一个完全不同的号码（Google Authenticator 提供的号码完美运行，允许我登录到 bitstamp.net）

我现在完全被卡住了；（有人知道吗？

我正在为一个新项目设计一个身份验证方案。人们将能够使用 . 通过 Google/Facebook/Microsoft 等帐户进行身份验证OpenID。所有这些提供商都支持双因素身份验证。

我的目标很简单：当用户使用 OpenID 主体注册或登录时，我想查询身份验证服务并判断用户是否启用了两因素身份验证。如果他这样做了，并且通过了两个步骤，“欢迎用户”，否则“对不起，伙计，这个网站非常安全，您必须启用双重身份验证”。

使用当前服务可以做到这一点吗？我已经阅读了谷歌文档并没有发现任何关于它的信息。由于 OpenID Connect 不支持令牌的任何“两步验证”属性，也不支持可能被利用的“强度”属性，因此我必须依赖可能泄露此类信息的特定配置文件 API。但至少在 Google API 中我还没有找到。

u2f开发指南未指定这部分：没有 www 前缀的单面 AppId 是否适用于使用 www 前缀访问站点的访问者？浏览器会认为它们是匹配的吗？

如果不是，我相信 U2F 部署有两种选择，IMO 都不是很愉快 - 我在下面解释为什么会这样：

1. 将所有网络用户从 www.example.com 重定向到 example.com，然后使用“example.com”方面。
2. 提供至少描述两个方面的 JSON 资源：www.example.com、example.com

现在，我说不得不处理“www”。明确地是不愉快的。我的理由是单站点 SSL 证书（包括更勤奋的证书，如 EV-certs）对 Web 用户透明地处理 www-prefix URL。我认为 U2F 没有理由认为这是一个安全漏洞并需要一种明确的方式来处理它。

我正在自定义 MVC5 注册过程，因此当用户注册时，他们必须输入两个自定义字段“MyNewField1”和“MyNewField2”，然后将根据用户上下文检查它们是否存在，在这种情况下，通过更新注册可以成功当前用户。

此方法成功通过，我被告知已发送一封电子邮件，但是当我单击此电子邮件链接时，我被带到一个错误页面，错误为 Invalid Token。因为我已经改变了这里的逻辑，我是否必须以不同的方式创建令牌？

我们有一个多租户 Windows Azure 应用程序。我们使用它来验证 Office 365 用户，并授予我们访问用户日历的权​​限。

我们今天有一个支持问题说：

在测试新的 office 365 登录时，我们没有测试任何 2 因素身份验证用户。但在我看来，在这种情况下，微软方面存在问题。

我们是否需要做一些特别的事情（可能是我们的 Azure 应用程序中的设置？）来支持我们的用户的 2 因素身份验证？

我有两个应用程序，一个有 web api，另一个应用程序使用它来验证它本身。

我的应用程序中如何实现 2FA，首先获取用户名和密码，然后对其进行身份验证。验证后我发送用户名，会话密钥。如果我得到正确的移动密码、用户名和会话密钥，应用程序将对其进行第二次身份验证。

现在的问题是它有效，当我使用邮递员 chrome 插件测试 2FA 时。但是，如果我使用第二个应用程序进行身份验证，它将失败。

当我通过找到的代码进行调试时，它会在会话变量处中断。我得到密钥错误。当我尝试从应用程序第二次进行身份验证时，我假设会话为空。

我很困惑为什么它适用于 Postman 插件而不适用于第二个应用程序。

我通过执行以下逻辑在使用 Web 安全的 ASP.Net MVC 页面中实现了两步验证：

1）当用户第一次登录并在登录页面中单击下一步时，他被验证-

然后他被重定向到第二步验证页面，在那里他将被要求输入一个安全Q。如果他正确，则创建一个新的cookie（Cookie2），并且用户使用-

然后他被重定向到他的主页。

2) 下次他尝试登录应用程序时，会检查第二步中创建的 cookie(Cookie2) 是否存在。如果存在，则直接将他重定向到主页，如果不存在，则再次要求他输入安全 Q。

因此，如果我们在这里看到实现，我实际上是在用户获得第二步验证有效的情况下才将用户登录到应用程序中。为了实现这一点，我正在创建一个 cookie 并将密码存储在会话中。

谁能让我知道我们是否可以以更好的方式对此进行编码？我猜我们可以在不使用会话和 cookie 的情况下做到这一点。

任何想法/建议都是最受欢迎的。

谢谢，

WH

我已经成功安装了 django_two_factor_auth：令牌登录、备份令牌和通过 Twilio 的 SMS 似乎都可以正常工作。不过，我的用户不会容忍每次登录都必须输入他们的令牌。

我的需求与以下讨论的类似： https ://github.com/Bouke/django-two-factor-auth/issues/56

我希望为用户提供在成功验证后将 OTP 验证推迟 30 天的选项。

为此，我安装了 django_agent_trust。如果安装了 django_agent_trust，我修补了 AuthenticationTokenForm 以添加 BooleanField：

（two_factor/forms.py，在 AuthenticationTokenForm 中）

我已经能够通过使用 django_agent_trust 的 django_agent_trust.trust_agent API 无条件地设置和重置 is_trusted 标志。

问题是找出在哪里捕获用户选择的 BooleanField 值。我在表单向导的某个地方迷路了。

如果我认为您的论点有道理，我会接受质疑我的整体方法是否明智的答案。我在这里缺少什么吗？

我正在尝试通过 TOTP 实现两因素身份验证。我有 webapp 和移动应用程序（ios 和 android）。我希望仅在 webapp 上而不是在移动应用程序上使用两个因素身份验证流。如何仅在移动应用程序上安全地绕过两因素身份验证？

更新： 我正在为 webapp 和移动应用程序使用通用后端 api。需要在网络应用程序上实现两个因素。对于移动应用程序一个因素（用户名、密码）就可以了。