Laravel Fortify är ett backend-autentiseringspaket för Laravel som stöder tvåfaktorautentisering (2FA) via tidsbaserade engångslösenord (TOTP). Det är flexibelt och agnostiskt för TOTP-klientapplikationsanvändarna som använder, vilket innebär att det inte binder dig specifikt till Google Authenticator och kan arbeta med någon TOTP-baserad autentiseringsapp, inklusive Authy.
Vad Laravel Fortify gör för 2FA
Laravel Fortify tillhandahåller backend -logiken för att generera 2FA Secret Keys, lagra dem säkert, generera återställningskoder och validera TOTP -symboler under inloggning. Den använder användarens tvåfaktor hemliga nyckel för att verifiera det engångslösenordet som genereras av alla autentisator-appar som stöder standard TOTP-algoritmen (RFC 6238). Fortify själv inte kräver eller begränsar vilken mobil eller skrivbordsapp som användaren måste använda.
Använda Authy istället för Google Authenticator
Authy och Google Authenticator är båda TOTP-baserade autenticator-appar. Båda genererar 6-siffriga koder var 30: e sekund baserat på en hemlig nyckel som delas under installationen (vanligtvis genom att skanna en QR-kod). Laravel Fortify arbetar sömlöst med alla klientappar som stöder denna standard. Därför kan du absolut använda Authy istället för Google Authenticator med Laravel Fortify.
Nyckelpunkter om autor och Google Authenticator i detta sammanhang:
- Kompatibilitet: Authy använder samma TOTP -standard som Google Authenticator, så alla 2FA -inställningar i Laravel Fortify fungerar med endera appen utan någon ändring av din Laravel -backend.
-Användarupplevelse: Authy erbjuder några fördelar jämfört med Google Authenticator, till exempel synkronisering av tokens över enheter (multi-enhetsstöd), krypterade molnbackups och skrivbordsappar (historiskt sett, mobil-centrerad), vilket kan skapa en bättre användarupplevelse.
- Säkerhet: Authy har alternativ för stiftskydd och biometrisk säkerhet på appen och krypterade säkerhetskopior, medan Google Authenticator saknar krypterade molnbackup och synkronisering av flera enheter. Dessa funktioner kan göra autor mer användarvänlig och motståndskraftig mot enhetsförlust ur användarens perspektiv.
- Inställning i Laravel Fortify: Den enda förändringen i din Laravel Fortify -implementering skulle vara att tillhandahålla QR -koden eller hemlig nyckel till användaren för att skanna i Authy istället för Google Authenticator. Eftersom båda apparna läser samma format genererar QR -koden Fortify -verk ut ur rutan med endera appen.
Implementeringshänsyn
1. Frontend QR -kod Display: När aktivering av 2FA, genererar förstärkning vanligtvis en QR -kod baserad på den hemliga nyckeln. Denna QR -kod kan skannas av Authy- eller Google Authenticator -appar. Din frontend behöver bara göra denna QR -kod, och användaren kan välja sin föredragna app. Inga backend -kodändringar behövs.
2. Bekräftelsesteg: Ett problem som ibland stöter på med Laravel Fortify är att möjliggöra 2FA utan att bekräfta att den angivna koden kan låsa användare om de inte slutför installationen ordentligt. Att implementera ett bekräftelsesteg där användaren anger en kod som genereras av Authy (eller Google Authenticator) efter att ha skannat QR -koden är en bästa praxis. Detta gäller oavsett den autentiseringsapp som används.
3. Återställningskoder: Fortify tillhandahåller återställningskoder för 2FA -förbikoppling om användaren förlorar åtkomst till sin autenticator -app. Dessa koder fungerar oberoende av valet av app (Authy eller Google Authenticator).
Sammanfattning av skillnader från användarperspektiv
- Authy Advantages: **
- Multi-enhetsstöd och automatisk synkronisering av 2FA-tokens.
- Krypterade molnbackup för att undvika att förlora tokens på enhetsförlust.
- Valfri PIN och biometrisk säkerhet för appen.
- Support för skrivbord och webbläsare (även om vissa skrivbordsappar avbröts från början av 2024).
- Push-baserad autentisering (men inte standard TOTP, mer relevant för andra implementeringar).
- Google Authenticator Advantages: **
- Mer allmänt känd och stödd av många tjänster.
- Enklare app, mindre komplex infrastruktur för stöd (inga konton, inga säkerhetskopior).
- helt offline efter första installationen (inga molnbackup).
Ur en Laravel Fortify -integrationssynpunkt är dessa skillnader ingen konsekvens eftersom TOTP -koderna från endera appen valideras på samma sätt av Befify.
Ytterligare anteckningar om befästanvändning
Laravel Fortify tillhandahåller inte frontend -vyer eller UI; Det tillhandahåller backend -tjänster för autentisering. Många utvecklare använder Fortify med Laravel JetStream eller andra UI -satser. Oavsett UI är nyckeln att Fortify genererar 2FA -hemligheten och validerar koder, vilket lämnar valet av autentisator -app till användaren.
Om anpassning behövs för att förbättra UX eller hantera kontoåterställning bättre (lägga till en "två_factor_confirmed" -flagga, anpassa vyer etc.) kan den implementeras i Fortify -lagret men är oberoende av valet mellan autor och Google Authenticator.
Slutsats
Ja, du kan använda Authy istället för Google Authenticator i Laravel Fortify utan någon förändring som behövs för din Backend 2FA -implementering. Båda apparna använder samma TOTP -standard som stöds av Fortify. Att välja Authy kan erbjuda förbättrade användbarhets- och säkerhetskopieringsfunktioner för dina användare, särskilt i scenarier av enhetsförlust eller åtkomst till flera enheter, men från Laravel-utvecklaren är integrationen densamma. Användare skannar helt enkelt QR -koden som tillhandahålls av Fortify med sin föredragna app för att ställa in 2FA.
Denna flexibilitet är genom design, vilket gör att Laravel Fortify kan arbeta med alla app som genererar standard TOTP -koder, inklusive men inte begränsat till Google Authenticator, Authy, Microsoft Authenticator och andra.