我正在为前一个雇主编写一个网络刮刀,它要求我登录,如果我以前从未登录过该用户,它还会进行双因素身份验证。
嗯......我发现的是,在传递令牌后,连同用户名和密码,它永远不会要求我在我的网络刮刀上进行双因素身份验证,但它会在浏览器中。 我甚至用一个从未登录过的人的测试用户名/密码来完成此操作。
双因素身份验证是否容易获得?
在不泄露代码的情况下(出于安全原因),可能出现这种情况的原因是什么?
任何使这更安全的方法?它可能只是在这两个因素上运行java脚本验证,并且因为我的web scraper没有java脚本它永远不会命中它?
双因素代码要求最合适/最安全的实施是什么?