在MFA中使用OIDC密码授予

Question

https://developers.onelogin.com/openid-connect/api/password-grant

我试图达到password_grant流程。但是，当我为配置了MFA的用户争取成功时，我会看到

错误

{
"error": "invalid_request",
"error_description": "MFA is required for this user"}

反正还有密码授予流程，以便其他客户端（例如Web和Mobile）可以访问端点而不必诉诸于auth流程吗？

Answer 1

不幸的是没有。正是由于这个原因，不建议使用这种授予类型-您不能执行MFA（除非仅通过诸如推送通知之类的副渠道进行），同意或联合。

本文总结了这个问题： https://www.scottbrady91.com/OAuth/Why-the-Resource-Owner-Password-Credentials-Grant-Type-is-not-Authentication-nor-Suitable-for-Modern-Applications