2FA + JWT, как делать?

Question

[bozuriciyu]

Есть простой сервис авторизации, который выдает, проверяет JWT, сохраняет юзеров в бд. Хочу добавить возможность 2fa, например код OTP из иприложения или на почту (пускай на почту для примера). Сервис в виде API.

Происходит все элементарно - юзер вводит данные логина на фронте, фроонт отправляет на апи, апи возвращает ответ. Как правильно добавлять двухфактор в такую схему? Нужно какое-то промежуточное состояние - т.е. юзер залогинился, но не ввел код? Как его хранить принято? Сессии нет - JWT. Вообщем, как это имплементируется обычно в подобных сервисах?

Answer 1

[xmoonlight]

Все прмежуточные состояния - это сторона клиента + мат.алгоритм + таймер/код.
Нужно сохранять порядок действий и обновлять верификационный код (при необходимости) без повторной авторизации.

Comments

[bozuriciyu]

какая еще сторона клиента) есть третье апи, с которого запрашиваются данные на клиент. я про клиент ни слова не спрашиваю вообще. про порядок действий подробнее - об этом и вопрос.

[xmoonlight]

bozuriciyu, такая - браузер называется.
Подробнее - сам допрёшь.)
В этом - весь ответ.

[Максим Федоров]

xmoonlight,

В этом - весь ответ

я все сказал
(с) сериал Мандалорец (Звездные войны), 2 серия :)

[bozuriciyu]

xmoonlight, ты точно с Луны свалился, чувак.

[xmoonlight]

bozuriciyu, Я не отрицаю твою способность так мыслить и для тебя - это твоя истина.
Но чтобы достичь совершенства, ты должен больше изучать и меньше глумиться.
И только тогда, ты получишь ответ на свой вопрос.

[bozuriciyu]

xmoonlight, мой вопрос элементарный, меня интересуют реальный опыт и практики, а не шизоидный бред.

Если надо развежвать вопрос, то ок - вот я, например, обозначил в бд юзера f2a: true, дальше после логина я могу например прихуярить какой-то промежуточный флаг, до того момента как он не введет пароль. Выглядит это убого. Очевидно что я спрашиваю об этом, а не этот бред, что написан.

Ясен хрен что я не спрашиваю ни о клиенте, ни о деталях имплементации самого OTP, что прямо и написано.

[xmoonlight]

bozuriciyu, Это - бред:

дальше после логина я могу например прихуярить какой-то промежуточный флаг, до того момента как он не введет пароль.

[bozuriciyu]

xmoonlight, есть другие предложения? Вот юзер ввел логин:пасс и попал на страницу ввода отп-пароля. Что дальше? Он может ввести пароль сразу, а может не ввести. Может обновить страницу. И нельзя отдавать данные пока он не введет второй пароль. Как делать по другому, не вводя промежуточное состояние помимо залогинен/не залогинен, если это бред?

[xmoonlight]

bozuriciyu, Ещё раз: промежуточное состояние - хранится на клиенте.

[bozuriciyu]

xmoonlight, орили? И как же состояние на клиенте мне поможет защищить апи сервер?)

[xmoonlight]

bozuriciyu, через формирование корректных данных за заданный промежуток времени.
Например, ввести пин-код за 30 секунд при TOTP.
На всём промежутке времени процесса авторизации, состояния всех клиентских запросов и ответов - хранятся в памяти js на клиенте.
А при выполнении запроса - обмен данными происходит как через клиента, так и минуя клиента - межсерверный.

[bozuriciyu]

xmoonlight, вы не понимаете вопроса, ни моих комментов, наверное. Токен, когда отдавать? Все что меня интересует!!! Память на клиенте вообще не при делах. Какие-то межсерверы. Бред.

Токен-то дополнительный вводить? Или все-таки делать промежуточный флаг?))) КОГДА ТОКЕН ДОСТУПА JWT ОТДАВАТЬ, БЛ*ТЬ?? И при чем тут клиент, хаха)) Вы серьезно, ощущение что понятия не имеете что пишете, просто набор умных слов.

[xmoonlight]

bozuriciyu, пусть будет так, как Вам выгодно.