簡體 English 中英

我應該允許用戶同時擁有多個 TOTP 嗎？

[英]Should I allow user to have multiple TOTPs simulteneously?

原文 2022-09-01 16:38:29 1 1 architecture/ multi-factor-authentication/ two-factor-authentication/ totp

為了使我的問題更具體，我想解釋一下我的任務。

我正在嘗試實現一個負責創建 OTP（即基於時間的 OTP）的組件/服務。

注意： TOTP 是通過 SMS 發送還是發送到用戶的 email 地址並不重要。

例如，如果用戶忘記了他們的密碼並想要恢復它，我的系統必須驗證此交易，然后允許他們更改它。

另外，我將創建事務類型（可能是一個枚舉）。 這種機制將有助於區分一個 TOTP 和另一個。 例如，如果我讓用戶使用 TOTP 更改密碼，該 TOTP 是為了更改他們的 email 地址而創建的，這將是一個安全問題。

問題是，我是否應該允許每個用戶針對不同的交易類型擁有多個 TOTP？

例如，如果用戶請求 TOTP 更改他們的密碼，我是否應該允許他們請求另一個 TOTP 更改他們的 email 地址（在第一個請求之后，所以現在用戶有兩個有效的 TOTP 待使用）？

1 個解決方案

我認為允許用戶擁有多個同時對不同操作有效的令牌沒有問題。 只要每個令牌都被限制為授權它們打算執行的操作，並且如果不使用令牌，它們就會相應地超時。

我應該有多個 GraphQL 實例還是只有一個？

[英]Should I have multiple GraphQL instances or just a single one?

我應該為業務邏輯使用一個dll還是多個？

[英]Should I have one dll or multiple for Business Logic?

我應該在用戶名中允許表情符號嗎？

[英]Should I allow emojis in my usernames?

每個用戶都應該有一個單獨的孤立數據庫嗎？

[英]Should each user have a separate siloed database?

對於每種數據庫查詢，我都應該有新的實體嗎？

[英]Should I have new entity for each kind of database query?

我應該在哪里放置用戶身份驗證驗證？

[英]Where should I put user authentication validation?

我應該對此有一種看法嗎？ 2個意見可以嗎？

[英]Should I have one view for this? Is 2 views alright?

在解析復雜的用戶輸入時我應該使用異常嗎

[英]Should I use Exceptions while parsing complex user input

我應該在多個微服務之間共享模型嗎？

[英]Should I share models across multiple microservices?

我應該為代碼生成使用單個還是多個配置文件

[英]Should I use single or multiple configuration files for Code Generation

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 我應該有多個 GraphQL 實例還是只有一個？我應該為業務邏輯使用一個dll還是多個？我應該在用戶名中允許表情符號嗎？每個用戶都應該有一個單獨的孤立數據庫嗎？對於每種數據庫查詢，我都應該有新的實體嗎？我應該在哪里放置用戶身份驗證驗證？我應該對此有一種看法嗎？ 2個意見可以嗎？在解析復雜的用戶輸入時我應該使用異常嗎我應該在多個微服務之間共享模型嗎？我應該為代碼生成使用單個還是多個配置文件

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM