问题描述
在我们的应用中,我们需要让用户能够配置多种方式来获取 MFA 的 TOTP 代码。其中两种方法是身份验证器应用程序(带有密码的二维码)和短信。我们强烈建议用户只配置 Auth App,但如果他们真的想要,他们可以同时配置 Auth App 和 SMS。问题是 - 如果两者都配置了,这两个选项是否可以共享相同的密钥?与这些秘密不同时相比,它是否会使应用程序更不安全?秘密短语按用户加密存储在数据库中,并在用户重新配置 Auth 应用程序时重新生成。
另一种选择可能是不将 TOTP 用于 SMS,而只是生成一个随机数并将其存储在某处,但有什么更好的方法吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)