【发布时间】:2020-02-02 13:53:58
【问题描述】:
从 Keycloak 8.0.1 开始,用户可以注册多个 OTP 设备: screen of user setup page on Keycloak admin ui
是否有任何方法可以限制用户的 OTP 凭据(设备)数量? 我想要实现的行为是只允许一个 OTP 设备对用户处于活动状态,因此用户无需从登录页面的下拉列表中选择设备(之前的 Keycloak 版本的行为)。
【问题讨论】:
标签: keycloak
【发布时间】:2020-02-02 13:53:58
【问题描述】:
有一个相关的问题,当您进行 OTP 重置时,会添加一个新的 OTP 设备。所以我不会说真正的重置。 能够限制列表中只有一个 OTP 设备实际上可以重置 OTP,因为新的 OTP 会将以前的 OTP 设备从列表中推出。
【讨论】:
这没有意义。您可能会以某种方式限制用户在 Keycloak 中只有一个 OTP 设备实例。但是您不能限制用户仅在单个设备上拥有该单个 OTP 实例。用户可以将相同的初始 OTP QR 码扫描到多个设备,然后所有这些设备都提供相同的 OTP 码。 (我也使用它,因为单个 OTP 设备对我来说似乎有风险)。
这种“OTP 设备复制”不是问题,尤其是对于 TOTP。 HOTP 可能对此有问题。
【讨论】:
-
嗨,@jan-garaj,请检查我附上的屏幕截图。我知道用户可以两次扫描相同的代码,但我想在 Keycloak 上限制使用“otp”类型的多个凭据。