Как сделать двойную аутентификацию отправляя код на почту?

Question

[Denis Izmailov]

Доброго времени суток!

Вопрос в том, как сделать двойную аутентификацию отправляя 6 значный код на почту.
К примеру для аутентификации или подтверждения почты.
Api для отправки писем на почту уже есть) С ним нет проблем.
Прошу не решение, а подсказки какие варианты реализации есть или что нужно гуглить.
Есть идея сделать через JWT token, но на сколько актуально это делать я не знаю.

Буду благодарен за любые подсказки )
Заранее спасибо большое)

Comments

[Василий Банников]

Не совсем понятно, с каким моментом проблема и при чём тут jwt.
Можешь Пошагово описать, что ты делаешь, что хочешь получить, и на каком шаге возникает непонятка?

[Denis Izmailov]

Василий Банников, сделать двойную аутентификацию, что не просто по логину паролю заходили, а еще и код на почту приходил, который они должны ввести.
Не понятка в том как лучше это реализовать.
Не просто же в тупую отправлять сгенерированный код через рандом, записывать его в бд пока он живет условно 5 минут и как пользователь вводит сравнивать их, правильно или нет.

[Василий Банников]

Denis Izmailov, ну в общем-то так и делается. Только:
1. Следует использовать криптостойкий генератор случайных чисел
2. Лучше хранить не сам сгенеренный код, а хэш от него.

Можно ещё попробовать поэкспериментировать с алгоритмом TOTP - тогда никакой генератор случайных чисел не нужен.

[Denis Izmailov]

Василий Банников, спасибо за ответ большое)
А вот как привязывать код к пользователю нужному, если только не JWT токен)
По другому не знаю как(

[Василий Банников]

Denis Izmailov, привязать код к пользователю - например можно держать состояние у URL. Это достаточно часто используется.

Ещё кстати 1 момент:
Нивкоем случае не надо дарить злоумышленнику информацию.

Даже если пароль был введён неправильно - всё равно следует предложить пройти и второй фактор.

А можно вообще сначала предлагать второй фактор, а уже после него - пароль.

Answer 1

[Петр]

1. Пользователь ввел логин/пароль.
2. Выдайте ему JWT, только в payload пропишите состояние "No2FA"
3. Отправьте 6 цифр на почту, сохранив в базе значение.
4. Отобразите форму получения кода.
5. Пользователь вводит код, который вы отправляете на эндпоинт вместе с токеном.
6. Проверили соответствие с БД.
7. Сгенерили новый токен.

Так же можно с Cookies и сохранением состояния сессии

Comments

[Denis Izmailov]

Спасибо большое за ответ)
Можете подсказать во 2 пункте, что такое payload?)
И как я понимаю, время жизни 6 значного кода будет ровняться жизни токена?
И когда токен умирает, то следует делать рефреш токина и отправлять новый код, если человек нажмет на ( повторно отправить код )

[Петр]

https://jwt.io/introduction "И как я понимаю, время жизни 6 значного кода будет ровняться жизни токена?" вы можете задать любое ValidUntil поле БД, где сохраняете отосланный код.

Answer 2

[AUser0]

"Я еду по дороге, подскажите, куда мне поворачивать на перекрёстке? Ну или подскажите, где про это погуглить."

P.S. Или пин-код, или готовый URL с кодом. Можно заморочиться борьбой с ботами и присылать картинку, или текстовое описание последовательности "нажать Я, нажать Д, нажать У, нажать Р, нажать А, нажать К", и т.д. Хммм, чего бы ещё придумать?!

Answer 3

[shai_hulud]

1) Сделать отдельный эндпонт для начала аутентификации типа authflow/usernamepassword

ответ:
{
    "nextStep": "email-code" | "totp-code" | "done",
    "token": "xxx" | null, // auth token, session id или что у вас используется
    "state": "xxx", // unique id для stateful приложений, либо нечто зашифрованное для распределенных stateless
}

2) Добавить эндпоинты для продолжения аутентификации типа authflow/email-code, authflow/totp-code итд
ответ тот же что и в п.1

на беке после проверки username/password проверять если ли у юзера MFA. Если есть говорить что следующий шаг это этот фактор, если нет сразу результат логина (токен).

если вход сделан через oauth2 то в конце можно вернуть authorization code и уже его обменять на токен.

для кодов использовать TOTP либо HOTP, с первым вариантом ничего в БД сохранять не надо, во втором надо.

btw. JWT тут не обязателен, можно и без него сделать.