我已经在我的Web应用程序中成功地实现了PHP的双因素身份验证。只是想知道Facebook甚至谷歌如何处理备份代码场景(以防用户丢失手机或手机上没有手机)。
我对如何做到这一点有一个粗略的想法,但它与它自己的 2FA 模块分开。我的想法是针对每个用户存储随机生成的备份代码,并优先考虑这些代码,而不是从2fa代码生成器生成的代码。
我说的对吗?或者有更好的方法吗?任何帮助或想法都非常感谢。
你说得对。您只需检查"此代码是由 2fa 代码生成器生成的正确代码还是此代码是备份代码之一?此页面显示了谷歌的用户界面。
如果只有一个"我没有手机;使用备份代码登录"链接将他们带到备份代码登录页面。
不过,需要备份代码及其密码很重要!
还要确保备份代码仅使用一次 - 您不希望人们只是记住一个并继续像第二个密码一样重复使用它。