使用 Authy API 时,有没有办法为用户更新 OTP 密码?
Is there a way to renew the OTP secret for user when using the Authy API?
我正在使用 Authy API 进行 TOTP 身份验证。许多用户更喜欢使用 google 身份验证器,不想下载 Authy 应用程序。所以我正在使用此处提到的 authy API 来获取 Google Authenticator (https://www.twilio.com/docs/authy/api/one-time-passwords#other-authenticator-apps).
的二维码
我在这里看到的一个安全问题是,用户可能想不时更改他们的身份验证器密码,而 twilio 没有直接 API 来更新密码。有没有办法达到这个结果?
我能想到的一个解决方案是删除使用并创建一个新的,但我希望找到更好的选择。
这里是 Twilio 开发人员布道者。
每次您向 API 发出请求以生成新的密码和 QR 码时,旧的密码就会失效。因此,要更新用户的秘密,只需再次请求相同的 API。
尽管这看起来确实像是一个边缘案例,但我可能建议您等待用户提出请求,而不是构建您不一定需要的功能。
如果您正在寻找自动化令牌管理,那么使用 Authy 应用程序和 Authy 生成的令牌是最佳选择。因为应用程序和 API 协同工作,令牌可以由 Authy 自动滚动,用户无需担心。
编辑
我们已将以下内容添加到 the documentation 以便将来澄清这一点:
Note, each QR code request will generate a unique TOTP seed. As such, you can only have a single active QR code per user per protected site. Requesting an additional QR code for a user will invalidate the previous secret and generate a new QR code.
我正在使用 Authy API 进行 TOTP 身份验证。许多用户更喜欢使用 google 身份验证器,不想下载 Authy 应用程序。所以我正在使用此处提到的 authy API 来获取 Google Authenticator (https://www.twilio.com/docs/authy/api/one-time-passwords#other-authenticator-apps).
的二维码我在这里看到的一个安全问题是,用户可能想不时更改他们的身份验证器密码,而 twilio 没有直接 API 来更新密码。有没有办法达到这个结果?
我能想到的一个解决方案是删除使用并创建一个新的,但我希望找到更好的选择。
这里是 Twilio 开发人员布道者。
每次您向 API 发出请求以生成新的密码和 QR 码时,旧的密码就会失效。因此,要更新用户的秘密,只需再次请求相同的 API。
尽管这看起来确实像是一个边缘案例,但我可能建议您等待用户提出请求,而不是构建您不一定需要的功能。
如果您正在寻找自动化令牌管理,那么使用 Authy 应用程序和 Authy 生成的令牌是最佳选择。因为应用程序和 API 协同工作,令牌可以由 Authy 自动滚动,用户无需担心。
编辑
我们已将以下内容添加到 the documentation 以便将来澄清这一点:
Note, each QR code request will generate a unique TOTP seed. As such, you can only have a single active QR code per user per protected site. Requesting an additional QR code for a user will invalidate the previous secret and generate a new QR code.