V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
netnr
V2EX  ›  问与答

使用第三方登录 OAuth2 ,如果开启了 MFA(TOTP),还要输入校验码吗

  •  
  •   netnr · 30 天前 · 917 次点击

    在行业中,一般是偏向或推荐哪种

    有大厂正在用的方式,可以发链接看看

    还有这个问题不会和前端登录密码传输是否需要加密一样都行?🤣

    第 1 条附言  ·  30 天前
    开启 MFA 不是第三方的系统,是自身的账号体系有 MFA
    第 2 条附言  ·  29 天前
    第 3 条附言  ·  8 天前
    用 Cloudflare 的 Google 登录后并开启了 2FA ,注销后再次用 Google 登录会要求输入 TOTP
    7 条回复    2024-10-16 14:26:53 +08:00
    Tink
        1
    Tink  
       30 天前 via Android
    第三方登录的话,MFA 不应该在第三方那边吗
    likelylee
        2
    likelylee  
       30 天前
    oauth2 是从第三方带着身份验证完成的信息返回的,本地的没必要再额外做身份验证了,也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求,在第三方处做。
    单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ,TOTP 走 HTTP 吧?这东西一起走 HTTPS 不就行了么?
    netnr
        3
    netnr  
    OP
       30 天前
    @Tink @likelylee 看附言 1
    julyclyde
        4
    julyclyde  
       30 天前
    @netnr 一样的啊,就算是同一家做的,也得分两个相互独立的角色
    netnr
        5
    netnr  
    OP
       30 天前 via Android
    我不明白你说的意思
    Tink
        6
    Tink  
       29 天前
    @netnr #3 自身的 MFA 肯定是适用于自身的登录系统,第三方带过来的应该是登录成功的 cookie
    likelylee
        7
    likelylee  
       29 天前
    @netnr 那看你们自己身份认证系统的实现了啊,举个例子,假设你们接收到身份认证请求,第一步到密码验证系统去完成密码验证,通过后第二步到 MFA 那验证 TOTP ,通过后第三步通知其他系统说身份验证完成。正经的 oauth 应该是直接接入到第三步位置告知其他系统身份验证完成才合理,如果你拿 oauth 挂在第二步前头用来代替密码验证系统,那当然在 oauth 之后就需要 MFA 了,可能的好处是你们“可以”不用管理用户名密码这些东西。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5036 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:41 · PVG 13:41 · LAX 21:41 · JFK 00:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.