如何解决客户端,服务器,数据库和Auth0的一次性密码身份验证流程
我正在尝试使用Auth0(使用Twillio与SMS进行无密码连接)来实现SMS的OTP身份验证流程。
我们有一个移动应用,一个API,一个数据库,并且我们使用Auth0。
步骤:
- 用户输入电话号码。
- 客户端是否将电话号码直接发送到Auth0?
- 或者客户端是否将电话号码发送到调用Auth0(Twillio)的API?
- 用户通过短信收到验证码
- 客户端是否将代码发送到Auth0?
- 或者客户端是否将代码发送到API,然后将其发送到Auth0?
- 用户输入代码并接收一个access_token,一个id_token和一个refresh_token
- Auth0是否直接与API和客户端直接对话?
- 客户端是否应该接收这些令牌并将其发送到后端?
- 或者API是否应该直接接收这些并将ID_token仅发送回客户端?
- 用户访问数据库中的资源。
- 是否需要将id_tokem,access_token和refresh_token保存在数据库中?
这些是我有的几个问题,但是我对OTP的常规身份验证流程感到困惑。
解决方法
Auth0可帮助您处理身份验证过程,并且您的API需要确定每个请求用户可以访问和不能访问的内容。此过程称为授权。换句话说,身份验证在客户端开始,而授权在服务器端开始。
身份验证(客户端)
在您的示例中,客户端直接将电话号码发送给Auth0,Auth0(幕后的Twillio)将代码发回。
客户端将凭据(电话号码和代码)发送回Auth0以对其进行验证。一旦代码成功,Auth0会将访问信息封装在称为访问令牌(JWT- JSON Web令牌)的内部,并将身份信息封装在称为 ID令牌的内部。这里https://auth0.com/docs/tokens
移动应用程序将访问令牌和刷新令牌存储在本地。
授权(后端)
当用户需要向受保护的API端点发出请求时,客户端应用程序必须将访问令牌与请求一起发送给API,然后才能执行授权过程。 access_token必须位于它向受保护的端点发出的每个请求的授权标头中。
服务器验证访问令牌。如果access_token无效,请使用刷新令牌来获取其他访问令牌。如果有效,服务器将使用令牌内的信息来确定令牌承载是否可以访问请求的端点。
您的服务器(问题中的第3点)需要一些东西来启动授权过程。您将必须使用JWT Strategy验证访问令牌。如果您使用的是nodejs,那么有一个名为Passport的好模块可以帮助您解决这个问题。
要配置JWT策略,您需要Auth0中的两个值: Auth0颁发者URL 和 AuthO Audience 。您将通过在Auth0信息中心中创建api来获得这些值
这意味着Passport验证全部由Auth0仪表板中您创建的租户(api)中的Auth0处理。 Auth0确定登录用户的身份,然后在有效负载对象中传递有关该用户的数据,您可以在整个请求响应周期中通过控制器和中间件对其进行访问。
您的受保护端点,例如/account
自动调用您的JwtStrategy配置逻辑,如果access_token无效,则阻止请求。
这篇文章对我的理解很有帮助,在这里我引用了很多:) https://auth0.com/blog/developing-a-secure-api-with-nestjs-getting-started/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。