[英]Passwordless SMS authentification - Token expiration & Security
我希望為目前正在生產中的移動應用程序實施無密碼解決方案。 目的是通過取消使用密碼使用戶的登錄過程更加順暢。 由於該應用程序僅適用於移動設備,並且用戶的電話號碼已用作用戶名,我覺得使用 Twilio 生成 OTP(一次性密碼)登錄的解決方案是一個不錯的選擇。
N.盡管如此,今天當用戶登錄時,身份驗證令牌沒有到期日期(他永遠保持登錄狀態)。 我想知道使用 OTP 生成這種無限制(或非常持久)的身份驗證令牌是否會被視為安全問題。 是否有一些最佳實踐需要考慮,例如刷新令牌或其他...
要明確我的問題是:
將 OTP 與 SMS 一起使用是否被視為保持始終登錄到應用程序的良好做法? 你認為我的推理有什么缺陷嗎?
謝謝 !
看看https://bere.al/en ,Bereal 使用這個系統來授權用戶。 當您更換/丟失 SIM 卡時,我們會遇到問題。 但我沒有看到任何安全問題。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.