目前我正在尝试实施设备双因素身份验证,其中每次用户登录时,如果该设备未被用户识别,则用户必须执行某种双因素身份验证
目前我正在使用System.Web.HttpBrowserCapabilities,但由于浏览器自动升级,这会带来巨大的不便。如果有人有更好的方法或任何建议,我很好奇。
谢谢!
答案 0 :(得分:1)
它说“此用户过去已成功通过此用户代理进行身份验证”
您可能希望包含其用户名(或用户ID),时间戳和随机值(nonce)以及此信息的HMAC
确保此Cookie标记为“安全”(仅限HTTPS)和“HttpOnly”(无法通过JavaScript读取)