我正在尝试实现两个因素的身份验证。登录将包含2个步骤:
提供用户名和密码并检查其正确性。如果它们正确,并且未为该帐户启用2FA,则该用户已登录(已设置cookie)。如果它们正确无误并启用了2FA,则用户将被重定向到必须输入一次密码的页面。
用户输入一次密码,如果正确,则登录。
将用户重定向到OTP页面时,我需要以某种方式记住她已经输入了正确的密码和用户名。最好的方法是什么?是否可以通过重定向发送帖子数据,以便我可以再次发送密码和用户名?我是否应该创建一个中间Cookie,以保存一个秘密(并且还将该秘密保存在服务器上,这似乎是一种复杂的处理方式?)。
如果有任何区别,我正在使用flask和mod_auth_tkt(用于基于cookie的身份验证的apache mod)。
答案 0 :(得分:1)
我是否应该创建一个保存秘密的中间Cookie(并且还将这个秘密保存在服务器上,这似乎是一种复杂的处理方式?)。
我想您可以为此使用Flask会话,只记得在登录/两因素身份验证失败后将其清除!