【问题标题】:Twilio Authy and persistent tokensTwilio Authy 和持久令牌
【发布时间】:2019-08-21 17:50:26
【问题描述】:

我正在考虑使用 Twilio 的 Authy 作为我的应用程序的一次性密码身份验证解决方案。我梳理了他们的docs,我了解如何使用电话号码注册新用户,然后如何验证他们确实拥有该电话。

我的问题是,一旦用户通过身份验证,我应该如何在我的应用程序中保持他们的身份验证? Twilio 是否处理任何类型的 JWT 或令牌生成?还是 Twilio 只是在那里断言特定用户拥有特定电话号码,而我(开发人员或 Firebase 等其他服务)负责启动与该用户关联的令牌以用于所有未来的请求?

【问题讨论】:

    标签: jwt twilio token one-time-password authy


    【解决方案1】:

    这里是 Twilio 开发者宣传员。

    您说得对,Authy 能够验证用户是您在 Authy 注册的用户。但是,它不会做任何事情来保持用户在您的应用程序中的身份验证,它确实可以为您提供一个是或否的答案,即您是否相信用户拥有他们最初注册的设备。

    正如您所推测的,您或其他服务可以提供一个令牌,您可以继续使用该令牌对请求进行身份验证。这篇博文有点陈旧(因为它使用普通的 Twilio SMS 而不是 Authy),但让您知道可以在应用程序中从哪里开始 building that authentication for passwordless login(在本例中为 PHP)。

    【讨论】:

    • 感谢您的回答。我想我的后续问题是,如果由我来安排其余的身份验证流程,那么与简单的可编程 SMS 相比,Authy 有什么好处?据我所知,唯一的优点是 a) Twilio 存储和比较 4 位数代码而不是我和 b) Twilio 拥有自己的电话号码数据库,每个用户都是唯一的,并且用户拥有唯一的电子邮件。但我可能还是想自己存储这些信息,以及将我的记录与 Twilio 相关联的 AuthyId。
    • 使用 Authy API,如果用户使用 Authy 应用程序,他们不需要使用 SMS 进行身份验证(可以在没有电话信号的区域工作)。作为此类代码的传输方式,Authy 应用程序也比 SMS 更安全。 Authy 还做了额外的工作来保证 SMS 传送,因为身份验证代码比营销信息具有更高的优先级。如果用户丢失了他们的设备并需要访问他们的 Authy 帐户,我们有一个支持团队,因此您不必担心。还有其他一些原因,但我在此 comme 中的空间已用完
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-31
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多