有没有办法在 Shiro 中实现多因素身份验证?有人可以给我一个关于如何实现这一点的提示吗?
更多细节:
基本思想是,用户需要像往常一样使用用户名和密码登录,但在实际验证之前,用户还需要输入他作为 SMS 收到的一次性 token 。
谢谢!
最佳答案
我终于自己解决了我的问题,但我当然总是愿意接受其他建议。
我实现了自己的 2 - 因素身份验证流程:
首先,我更改了登录页面的 URL,Shiro 将未经身份验证的用户重定向到我自己的登录页面,从而进入身份验证机制。
用户需要完成两个“阶段”才能登录。
这些都是有效的,用户被重定向到登录的第二阶段。
通过短信。此外,用户的身份验证进度已保存在
session (这意味着我记得,第 1 阶段已完成
成功地)。
token 是
要正确输入超过 4 的 token ,用户将被重定向
到第 1 阶段,所有进度将被删除。我
(当然不让他/她知道)
最后,用户将被重定向到他/她最初请求的页面,这仍然允许他/她为页面添加书签。当然,白的记住我总是会被停用。
关于authentication - Shiro,多重身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18485664/