问题描述
我们的网站既可以从桌面打开,也可以从移动设备打开。当用户在桌面上设置 MFA 时,他们可以使用手机摄像头直接从 PC 屏幕扫描二维码。但是当他们在移动设备上登录时,他们很难在他们当前使用的同一台设备上扫描二维码。我在帐户设置中检查了 Google 的做法(通过 Android 上的 Chrome 登录):
因此,默认情况下,他们建议扫描 QR 码,但当我单击“我不能”时,他们建议我自己复制粘贴密码。
但是他们肯定会跟踪用户是从移动设备登录的,为什么不直接显示一个 otpauth:// 链接呢?我尝试在我的应用程序中执行此操作,它的效果非常好(至少在 Android 上,现在无法在 iPhone 上检查,但如果您有机会在 iPhone 上进行测试,这里有一个示例链接):
otpauth://totp/[email protected]?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite
upd:SOF 不会让它可点击 - 必须是出于安全原因,但在我的网站上,我可以毫无问题地做到这一点。 Wrapping this into a code snipped works on Android in Chrome,when "Request Desktop Site" checkBox is checked:
<a href="otpauth://totp/[email protected]?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite">otpauth://totp/[email protected]?secret=wonttellyouthat&algorithm=SHA1&digits=6&period=30&issuer=superwebsite</a>通过点击它,Android 建议我可以使用 Microsoft 或 Google 身份验证器,这意味着 Google 的应用程序支持此技巧。我也安装了 LastPass,但没有弹出。
在我看来,这个解决方案对用户更加友好,而且很好奇为什么 Google 不允许用户这样做?一定是我没有考虑到的一些陷阱吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)