我正在使用Authy API进行TOTP身份验证。许多用户更喜欢使用Google身份验证器,而不希望下载Authy应用。因此,我正在使用此处提到的authy API来获取Google Authenticator(https://www.twilio.com/docs/authy/api/one-time-passwords#other-authenticator-apps)的QR码。
我在这里看到的一个安全问题是用户可能希望不时更改其身份验证器机密,而twilio没有直接的API来更新机密。有没有办法实现这一目标?
我能想到的一种解决方案是删除使用并创建一个新的解决方案,但我希望找到一个更好的选择。
答案 0 :(得分:1)
这里是Twilio开发人员的传播者。
每次您请求API生成新密码和QR码时,旧密码都会失效。因此,要更新用户的机密,只需再次请求相同的API。
尽管这似乎是一种极端情况,但我建议您等待用户请求此功能,而不是构建不必要的功能。
如果您正在寻找自动令牌管理,那么最好使用Authy应用程序和Authy生成的令牌。由于该应用程序和API可以协同工作,因此Authy可以自动滚动令牌,而无需用户担心。
修改
我们在the documentation中添加了以下内容,以供日后澄清:
请注意,每个QR码请求都会生成一个唯一的TOTP种子。因此,每个受保护站点的每个用户只能有一个活动的QR码。为用户请求其他QR码将使先前的秘密无效并生成新的QR码。