Laravel Fortify er en backend-godkendelsespakke til Laravel, der understøtter to-faktor-godkendelse (2FA) via tidsbaserede engangsadgangskoder (TOTP). Det er fleksibelt og agnostisk for TOTP-klientapplikationsbrugere anvender, hvilket betyder, at den ikke binder dig specifikt til Google Authenticator og kan arbejde med enhver TOTP-baseret godkendelsesapp, inklusive Authy.
Hvad Laravel Fortify gør for 2FA
Laravel Fortify leverer backend -logikken til at generere 2FA Secret -tasterne, opbevare dem sikkert, generere gendannelseskoder og validere TOTP -tokens under login. Den bruger brugerens to-faktor hemmelige nøgle til at verificere den engangsadgangskode, der genereres af enhver authenticator-app, der understøtter standard TOTP-algoritmen (RFC 6238). Fortify i sig selv kræver ikke eller begrænser hvilken mobil- eller desktop -app, som brugeren skal bruge.
Brug af Authy i stedet for Google Authenticator
Authy og Google Authenticator er begge TOTP-baserede autentificeringsapps. Begge genererer 6-cifrede koder hvert 30. sekund baseret på en hemmelig nøgle, der deles under opsætningen (typisk ved at scanne en QR-kode). Laravel Fortify arbejder problemfrit med enhver klient -app, der understøtter denne standard. Derfor kan du absolut bruge Authy i stedet for Google Authenticator med Laravel Fortify.
Nøglepunkter om Authy og Google Authenticator i denne sammenhæng:
- Kompatibilitet: Authy bruger den samme TOTP -standard som Google Authenticator, så enhver 2FA -opsætning i Laravel Fortify fungerer med enten app uden nogen ændring af din Laravel -backend.
-Brugeroplevelse: Authy tilbyder nogle fordele i forhold til Google Authenticator, såsom synkronisering af tokens på tværs af enheder (multi-enhed support), krypterede cloud-sikkerhedskopier og desktop-apps (historisk set, i øjeblikket mobilcentrisk), som kan skabe en bedre brugeroplevelse.
- Sikkerhed: Authy har muligheder for pinbeskyttelse og biometrisk sikkerhed på appen og krypterede sikkerhedskopier, mens Google-autentificator mangler krypterede cloud-sikkerhedskopier og synkronisering på flere enheder. Disse funktioner kan muligvis gøre autoritet mere brugervenlig og modstandsdygtig over for enhedstab fra en brugers perspektiv.
- Opsætning i Laravel Fortify: Den eneste ændring i din Laravel Fortify -implementering ville være at give QR -koden eller hemmelig nøgle til brugeren til scanning i Authy i stedet for Google Authenticator. Da begge apps læser det samme format, genererer QR -koden Fortify værker ud af boksen med begge apper.
Implementeringshensyn
1. frontend QR -kodedisplay: Når du aktiverer 2FA, genererer Fortify typisk en QR -kode baseret på den hemmelige nøgle. Denne QR -kode kan scannes af Authy- eller Google Authenticator -apps. Din frontend skal bare gengive denne QR -kode, og brugeren kan vælge deres foretrukne app. Der er ikke behov for ændringer i backend -kode.
2. Bekræftelsestrin: Et problem, der undertiden er stødt på Laravel Fortify, er, at aktivering af 2FA uden at bekræfte den indtastede kode kan låse brugerne ud, hvis de ikke afslutter opsætningen korrekt. Implementering af et bekræftelsestrin, hvor brugeren indtaster en kode genereret af Authy (eller Google Authenticator) efter at have scannet QR -koden er en bedste praksis. Dette gælder uanset den anvendte godkendelsesapp.
3. gendannelseskoder: Fortify leverer gendannelseskoder til 2FA bypass, hvis brugeren mister adgangen til deres autentificator -app. Disse koder fungerer uafhængigt af valget af app (Authy eller Google Authenticator).
Resumé af forskelle fra brugerperspektiv
- Autoriske fordele: **
- Support til flere enheder og automatisk synkronisering af 2FA-tokens.
- Krypterede cloud -sikkerhedskopier for at undgå at miste tokens på enhedstab.
- Valgfri pin og biometrisk sikkerhed for appen.
- Desktop- og browser -app -support (skønt nogle desktop -apps blev afbrudt fra begyndelsen af 2024).
- Push-baseret godkendelse (dog ikke standard TOTP, mere relevant for andre implementeringer).
- Google Authenticator Fordele: **
- mere vidt kendt og understøttet af mange tjenester.
- Enklere app, mindre kompleks backing -infrastruktur (ingen konti, ingen sikkerhedskopier).
- Helt offline efter den første opsætning (ingen cloud -sikkerhedskopier).
Fra et laravel -befæstningsintegrationssynspunkt har disse forskelle ingen konsekvens, da TOTP -koderne fra begge apper valideres på samme måde ved at befæste.
Yderligere noter om Fortify -brug
Laravel Fortify giver ikke frontend -visninger eller brugergrænseflade; Det leverer backend -tjenester til godkendelse. Mange udviklere bruger Fortify med Laravel Jetstream eller andre UI -sæt. Uanset UI er nøglen, at Fortify genererer 2FA -hemmeligheden og validerer koder, hvilket overlader valget af autentificeringsapp til brugeren.
Hvis der er behov for tilpasning for at forbedre UX eller håndtere kontoudvinding bedre (tilføjelse af en "to_factor_confirmed" -flag, tilpasning af visninger osv.), Kan det implementeres i Fortify -laget, men er uafhængigt af valget mellem autorisation og Google -autentikator.
Konklusion
Ja, du kan bruge Authy i stedet for Google Authenticator i Laravel Fortify uden ændring, der er nødvendig for din backend 2FA -implementering. Begge apps bruger den samme TOTP -standard, der er fuldt understøttet af Fortify. Valg af Authy kan tilbyde forbedret brugervenlighed og sikkerhedskopieringsfunktioner til dine brugere, især i scenarier med enhedstab eller adgang til flere enheder, men fra Laravel-udviklerens synspunkt forbliver integrationen den samme. Brugere scanner simpelthen QR -koden leveret af Fortify med deres foretrukne app til opsætning af 2FA.
Denne fleksibilitet er ved design, der giver Laravel Fortify mulighed for at arbejde med enhver app, der genererer standard TOTP -koder, herunder men ikke begrænset til Google Authenticator, Authy, Microsoft Authenticator og andre.