logo标签列表

涉及两步验证的ASP最佳实践,包括保存设备信息

asp.netdevicetwo-factor-authentication
3

目前我正在尝试实现设备双因素身份验证,每当用户登录时,如果该设备未与用户识别,则用户将需要执行某种双因素身份验证。

目前我正在使用System.Web.HttpBrowserCapabilities,但由于浏览器自动升级,这已经成为一个巨大的不便。我想知道是否有更好的方法或任何建议。

谢谢!

如何结合用户代理字符串和IP地址(以推断位置)?如果我要猜测的话,我会说像Google这样的公司也会使用类似的方法(虽然可能更加复杂)。而且你还可以在其中使用cookie。 - ADyson
@ADyson 在移动设备上更改 IP 地址的经验。 - JL1
真的,但至少对于固定线路连接来说,与它们相关的位置/地区/城市信息应该是相当相似的,例如您从 https://geoiptool.com/en/ 这样的服务中获取的信息。移动设备更难,我同意。我没有完整的答案,这只是一条评论。 - ADyson
1个回答
1

使用设备cookie

它表示“该用户过去已在此用户代理上成功验证”。

您可能想要包括他们的用户名(或用户ID)、时间戳和随机值(一次性密码),以及此信息的HMAC。

确保将此cookie标记为“安全”(仅限HTTPS)和“HttpOnly”(无法被JavaScript读取)。

1
抱歉回复晚了。这是我采取的路径。谢谢。 - JL1
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接