我正在尝试使用服务器端的Python 2.7和客户端的js来提供基于非第三方的双因素身份验证解决方案。
根据this answer,“带外”身份验证流程可能如下所示:
但这不是实际的双因素身份验证;它只是“带外”,即使用第二种媒介来传输令牌。
像onetimepass这样的TOTP / HOTP库总是:
我的假设是否正确?如果是这样,如果我不想使用Google Authenticator或Authy等第三方服务,如何在没有它的情况下实施基于TOTP / HOTP的双因素身份验证?如果我不能,那么我的非第三方选项对于双因素(通过Python或js)是什么?
答案 0 :(得分:0)
有两种方法可以使用它 - 您可以通过在获得访问权限之前必须在您的网站上输入的消息提供代码,或者您使用编码的user_id设置链接的长度,当点击该链接时授权该用户。 / p>
使用SMS api,例如Twilio或亚马逊的SNS平台。使用这些服务需要花钱,而且没有一个是免费的。
带外也可能暗示电子邮件,并且也存在api - 例如邮件枪。 (哪些是免费的)