無密碼 SMS 身份驗證 - 令牌過期和安全
[英]Passwordless SMS authentification - Token expiration & Security
問題描述
我希望為目前正在生產中的移動應用程序實施無密碼解決方案。 目的是通過取消使用密碼使用戶的登錄過程更加順暢。 由於該應用程序僅適用於移動設備,並且用戶的電話號碼已用作用戶名,我覺得使用 Twilio 生成 OTP(一次性密碼)登錄的解決方案是一個不錯的選擇。
N.盡管如此,今天當用戶登錄時,身份驗證令牌沒有到期日期(他永遠保持登錄狀態)。 我想知道使用 OTP 生成這種無限制(或非常持久)的身份驗證令牌是否會被視為安全問題。 是否有一些最佳實踐需要考慮,例如刷新令牌或其他...
要明確我的問題是:
將 OTP 與 SMS 一起使用是否被視為保持始終登錄到應用程序的良好做法? 你認為我的推理有什么缺陷嗎?
謝謝 !
1 個解決方案
解決方案1
0 已采納 2022-04-19 12:39:04
看看https://bere.al/en ,Bereal 使用這個系統來授權用戶。 當您更換/丟失 SIM 卡時,我們會遇到問題。 但我沒有看到任何安全問題。
Firebase:使用 Firebase 令牌進行的 Facebook 身份驗證不起作用
[英]Firebase : Facebook authentification with Firebase token not working
Firebase Authentification expiresIn(令牌過期所需的時間)
[英]Firebase Authentification expiresIn (time needed for token to expire )
AWS S3 簽名 url 在嘗試檢索 object 時不斷拋出令牌過期
[英]AWS S3 signed url keep throwing token expiration while trying to retrieve object
是否可以通過 Firebase 身份驗證向特定電話號碼發送包含一次性令牌的短信?
[英]Is it possible to send a SMS contain one-time-token to specific phone number through Firebase Authentication?
Firebase Auth ID 令牌驗證的必要性,即使有數據庫的安全規則?
[英]Necessity of Firebase Auth ID token validation, even if there are security rules of database?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
延長 Firebase 短信有效期
Firebase:使用 Firebase 令牌進行的 Facebook 身份驗證不起作用
Firebase Authentification expiresIn(令牌過期所需的時間)
增加aws session token過期時間
FastAPI:使用 firebase 令牌的安全性
請求中包含的安全令牌已過期
使用 spring 安全性驗證 Azure AD 訪問令牌
AWS S3 簽名 url 在嘗試檢索 object 時不斷拋出令牌過期
是否可以通過 Firebase 身份驗證向特定電話號碼發送包含一次性令牌的短信?
Firebase Auth ID 令牌驗證的必要性,即使有數據庫的安全規則?
相關標簽