„Laravel Fortify“ yra „Laravel“ autentifikavimo paketas, palaikantis dviejų faktorių autentifikavimą (2FA) per laiką pagrįstus vienkartinius slaptažodžius (TOTP). Jis yra lankstus ir agnostinis naudodamas „TOTP Client“ programų vartotojus, tai reiškia, kad jis jūsų konkrečiai neviršija su „Google Authenticator“ ir gali dirbti su bet kuria „TOTP“ pagrindu sukurta autentifikavimo programa, įskaitant „Authy“.
Ką „Laravel Fortify“ daro 2fa
„Laravel Fortify“ suteikia pagrindinę logiką, kad būtų sukurta „2FA Secret“ klavišai, saugiai juos saugokite, sugeneruokite atkūrimo kodus ir prisijungimo metu patvirtinkite TOTP žetonus. Jis naudoja vartotojo dviejų veiksnių slaptą raktą, kad patikrintų vienkartinį slaptažodį, kurį sukuria bet kuri autentifikatoriaus programa, palaikanti standartinį TOTP algoritmą (RFC 6238). Pats „Fortify“ neįpareigoja ir neriboja, kurią mobilią ar stalinę programą turi naudoti vartotojas.
„Authy“ naudojimas, o ne „Google Authenticator“
„Authy“ ir „Google Authenticator“ yra „TOTP“ pagrindu sukurtos autentifikatoriaus programos. Abu sukuria 6 skaitmenų kodus kas 30 sekundžių, remdamiesi slaptu klavišu, dalijamu sąrankos metu (paprastai nuskaito QR kodą). „Laravel Fortify“ sklandžiai veikia su bet kuria kliento programa, palaikanti šį standartą. Todėl galite absoliučiai naudoti „Authy“, o ne „Google Authenticator“ su „Laravel Fortify“.
Pagrindiniai punktai apie „Authy“ ir „Google Authenticator“ šiame kontekste:
- Suderinamumas: „Authy“ naudoja tą patį TOTP standartą kaip ir „Google Authenticator“, todėl bet kuri 2FA sąranka „Laravel Fortify“ veiks su bet kuria programa, nepakeisite jūsų „Laravel“ pagrindinės.
-Vartotojo patirtis: „Authy“ suteikia tam tikrų pranašumų, palyginti su „Google Authenticator“, pavyzdžiui, sinchronizuojant žetonus tarp įrenginių (palaikymas kelių įrenginių), užšifruotos debesies atsarginės kopijos ir stalinių kompiuterių programos (istoriškai šiuo metu orientuotos į mobilųjį), kuris gali sukurti geresnę vartotojo patirtį.
- Sauga: „Authy“ turi PIN apsaugos ir biometrinės saugos parinktis programoje ir užšifruotos atsarginės kopijos, o „Google Authenticator“ trūksta užšifruotų debesies atsarginių kopijų ir kelių įrenginių sinchronizavimo. Šios funkcijos gali padaryti „Authy“ patogesnę ir atsparesnę nuo įrenginio praradimo iš vartotojo perspektyvos.
- Sąranka „Laravel Fortify“: Vienintelis jūsų „Laravel Fortify“ įgyvendinimo pakeitimas būtų pateikti vartotojui QR kodą arba slaptą raktą, skirtą nuskaityti „Authy“, o ne „Google Authenticator“. Kadangi abi programos skaito tą patį formatą, „QR Code Fortify“ generuoja darbus iš dėžutės su bet kuria programa.
Įgyvendinimo aspektai
1. „Frontend QR“ kodo ekranas: Įjungus 2FA, „Fortify“ paprastai generuoja QR kodą, pagrįstą slaptu raktu. Šį QR kodą gali nuskaityti „Authy“ arba „Google Authenticator“ programos. Jūsų frontendai tereikia pateikti šį QR kodą, o vartotojas gali pasirinkti savo pageidaujamą programą. Nereikia jokių užpakalinių kodų pakeitimų.
2. Patvirtinimo žingsnis: Vienas klausimas, kartais su „Laravel Fortify“, yra tas, kad įgalinimas 2FA nepatvirtinus įvesto kodo gali užrakinti vartotojus, jei jie netinkamai užpildys sąranką. Patvirtinimo veiksmo įgyvendinimas, kai vartotojas įeina į kodą, kurį sukuria „Authy“ (arba „Google Authenticator“), nuskaitydamas QR kodą, yra geriausia praktika. Tai taikoma nepriklausomai nuo naudojamos autentifikavimo programos.
3. Atkūrimo kodai: „Fortify“ pateikia 2FA aplinkkelio atkūrimo kodus, jei vartotojas praranda prieigą prie savo autentifikatoriaus programos. Šie kodai veikia nepriklausomai nuo programos pasirinkimo („Authy“ arba „Google Authenticator“).
Skirtumų santrauka iš vartotojo perspektyvos
- „Authy“ pranašumai: **
- „2FA Tokens“ kelių įrenginių palaikymas ir automatinis sinchronizavimas.
- užšifruotos debesies atsarginės kopijos, kad būtų galima prarasti žetonus dėl įrenginio praradimo.
- Pasirenkamas PIN kodas ir biometrinis programos saugumas.
- Stalinio ir naršyklės programų palaikymas (nors kai kurios darbalaukio programos buvo nutrauktos nuo 2024 m. Pradžios).
- „Push“ pagrįstas autentifikavimas (nors ne standartinis TOTP, aktualesnis kitoms diegimams).
- „Google“ autentifikatoriaus pranašumai: **
- Plačiau žinomas ir palaikomas daugelio paslaugų.
- Paprastesnė programa, ne tokia sudėtinga palaikymo infrastruktūra (nėra paskyrų, nėra atsarginių kopijų).
- Visiškai neprisijungus po pirminės sąrankos (nėra debesies atsarginių kopijų).
Iš „Laravel Fortify“ integracijos požiūrio šie skirtumai neturi jokios pasekmės, nes „TOTP“ kodai iš abiejų programų yra patvirtinti vienodai „Fortify“.
Papildomos pastabos apie „Fortify“ naudojimą
„Laravel Fortify“ nepateikia vaizdų į priekį ar UI; Tai teikia autentifikavimo paslaugas. Daugelis kūrėjų naudoja „Fortify“ su „Laravel JetStream“ ar kitais UI rinkiniais. Nepaisant vartotojo sąsajos, svarbiausia yra tai, kad „Fortify“ generuoja „2FA Secret“ ir patvirtina kodus, paliekant vartotojui pasirinktą „Authenticator“ programą.
Jei norint geriau patobulinti „UX“ ar „Account“ atkūrimą, reikia pritaikyti (pridedant „dvi_factor_confired“ vėliavą, tinkinti rodinius ir pan.), Jį galima įdiegti „Fortify“ sluoksnyje, tačiau nepriklauso nuo pasirinkimo tarp „Authy“ ir „Google Authenticator“.
Išvada
Taip, „Laravel Fortify“ galite naudoti „Authy“, o ne „Google Authenticator“, be jūsų „Backend 2FA“ diegimo nereikėjo. Abi programos naudoja tą patį TOTP standartą, visiškai palaikomą „Fortify“. Pasirinkus „Authy“, jūsų vartotojams gali būti pasiūlyta patobulintų tinkamumo ir atsarginės funkcijos, ypač esant įrenginio praradimo ar prieigos prie kelių įrenginių scenarijams, tačiau „Laravel“ kūrėjo požiūriu integracija išlieka ta pati. Vartotojai tiesiog nuskaito QR kodą, kurį pateikė „Fortify“ su savo pageidaujama programa, kad nustatytumėte 2FA.
Šis lankstumas yra dizainas, leidžiantis „Laravel Fortify“ dirbti su bet kuriomis programomis, generuojančiais standartinius TOTP kodus, įskaitant, bet tuo neapsiribojant, „Google Authenticator“, „Authy“, „Microsoft Authenticator“ ir kt.