Есть ли способ обновить секрет OTP для пользователя при использовании Authy API?
Я использую Authy API для аутентификации TOTP. Многие пользователи предпочитают использовать Google authenticator и не хотят загружать приложение Authy. Поэтому я использую API-интерфейс authy, как упомянуто здесь, чтобы получить QR-код для Google Authenticator ( https://www.twilio.com/docs/authy/api/one-time-passwords).
Одна проблема безопасности, которую я вижу здесь, заключается в том, что пользователи могут время от времени менять свой секретный аутентификатор, а twilio не имеет прямого API для обновления секретного. Есть ли способ достичь этого результата?
Одно из решений, которое я могу придумать, - это удалить использование и создать новое, но я надеюсь найти лучший вариант.
1 ответ
Twilio разработчик евангелист здесь.
Каждый раз, когда вы обращаетесь к API с просьбой сгенерировать новый секретный код и QR-код, старый код становится недействительным. Поэтому, чтобы обновить секрет пользователя, просто запросите тот же API снова.
Это выглядит как крайний случай, хотя я мог бы предложить вам подождать, пока пользователь запросит это, а не создавать функцию, которая вам не обязательно нужна.
Если вы ищете автоматическое управление токенами, то лучше всего использовать приложение Authy и сгенерированные токены. Поскольку приложение и API работают вместе, токены могут автоматически проверяться Authy, и пользователю не нужно беспокоиться.
редактировать
Мы добавили следующее в документацию, чтобы уточнить это на будущее:
Обратите внимание, что каждый запрос QR-кода будет генерировать уникальное начальное число TOTP. Таким образом, вы можете иметь только один активный QR-код на пользователя для каждого защищенного сайта. Запрос дополнительного QR-кода для пользователя сделает недействительным предыдущий секрет и сгенерирует новый QR-код.