Laravel Fortify, Laravel için zamana dayalı tek seferlik parolalar (TOTP) aracılığıyla iki faktörlü kimlik doğrulamayı (2FA) destekleyen bir arka uç kimlik doğrulama paketidir. TOTP istemci uygulaması kullanıcılarının kullandığı esnek ve agnostiktir, yani sizi özellikle Google Authenticator'a bağlamaz ve Authy dahil herhangi bir TOTP tabanlı kimlik doğrulama uygulamasıyla çalışabilir.
Laravel Fortify 2FA için ne yapar?
Laravel Fortify, 2FA gizli tuşlarını oluşturmak, güvenli bir şekilde saklamak, kurtarma kodları oluşturmak ve giriş sırasında TOTP tokenlerini doğrulamak için arka uç mantığını sağlar. Standart TOTP algoritmasını (RFC 6238) destekleyen herhangi bir kimlik doğrulama uygulaması tarafından oluşturulan bir kerelik şifreyi doğrulamak için kullanıcının iki faktörlü gizli anahtarını kullanır. Fortify, kullanıcının hangi mobil veya masaüstü uygulamasını kullanması gereken zorunlu kılmaz veya kısıtlamaz.
Google Authenticator yerine Authy'yi Kullanma
Authy ve Google Authenticator, TOTP tabanlı Authenticator uygulamalarıdır. Her ikisi de kurulum sırasında paylaşılan gizli bir anahtara göre her 30 saniyede bir 6 haneli kod oluşturur (tipik olarak bir QR kodunu tarayarak). Laravel Fortify, bu standardı destekleyen herhangi bir müşteri uygulamasıyla sorunsuz bir şekilde çalışır. Bu nedenle, Laravel Fortify ile Google Authenticator yerine Authy'yi kesinlikle kullanabilirsiniz.
Bu bağlamda Authy ve Google Authenticator hakkında önemli noktalar:
- Uyumluluk: Authy, Google Authenticator ile aynı TOTP standardını kullanır, bu nedenle Laravel Fortify'daki herhangi bir 2FA kurulumu, Laravel arka ucunuzda herhangi bir değişiklik yapmadan her iki uygulamayla da çalışacaktır.
-Kullanıcı Deneyimi: Authy, Google Authenticator'a göre cihazlar (çoklu cihaz desteği), şifreli bulut yedeklemeleri ve daha iyi bir kullanıcı deneyimi oluşturabilen masaüstü uygulamaları (tarihsel olarak, mobil merkezli) senkronizasyonları gibi bazı avantajlar sunar.
- Güvenlik: Authy, uygulamada PIN koruması ve biyometrik güvenlik ve şifreli yedeklemeler için seçeneklere sahipken, Google Authenticator şifreli bulut yedeklemeleri ve çok cihaz senkronizasyonlarından yoksundur. Bu özellikler, bir kullanıcının bakış açısından cihaz kaybına karşı Authy'yi daha kullanıcı dostu ve esnek hale getirebilir.
- Laravel Formify'da kurulum: Laravel Fortify uygulamanızdaki tek değişiklik, Google Authenticator yerine Authy'de taramak için kullanıcıya QR kodunu veya gizli anahtarını sağlamak olacaktır. Her iki uygulama da aynı biçimi okuduğundan, QR kodu Fortify her iki uygulama ile kutudan çıkıyor.
Uygulama Hususları
1. Ön uç QR Kod Ekran: 2FA'yı etkinleştirirken, Fortify genellikle gizli tuşa göre bir QR kodu oluşturur. Bu QR kodu, Authy veya Google Authenticator uygulamaları tarafından taranabilir. Ön uçunuz sadece bu QR kodunu oluşturmalı ve kullanıcı tercih ettikleri uygulamayı seçebilir. Arka uç kodu değişikliği gerekmez.
2. Onay Adımı: Bazen Laravel Forfiy ile karşılaşılan bir sorun, girilen kodu onaylamadan 2FA'nın etkinleştirilmesinin, kurulumu düzgün bir şekilde tamamlamadıkları takdirde kullanıcıları kilitleyebilmesidir. QR kodunu taradıktan sonra kullanıcının Authy (veya Google Authenticator tarafından oluşturulan bir koda girdiği bir onay adımı uygulamak en iyi uygulamadır. Bu, kullanılan kimlik doğrulama uygulamasından bağımsız olarak geçerlidir.
3. Kurtarma Kodları: Fortify, kullanıcı kimlik doğrulayıcı uygulamalarına erişimi kaybederse 2FA bypass için kurtarma kodları sağlar. Bu kodlar uygulama seçiminden bağımsız olarak çalışır (Authy veya Google Authenticator).
Kullanıcı perspektifinden farklılıkların özeti
- Authy Avantajları: **
- 2FA jetonlarının çok cihaz desteği ve otomatik senkronizasyonu.
- Cihaz kaybında jetonları kaybetmekten kaçınmak için şifreli bulut yedeklemeleri.
- Uygulama için isteğe bağlı PIN ve biyometrik güvenlik.
- Masaüstü ve Tarayıcı Uygulaması Desteği (2024'ün başlarında bazı masaüstü uygulamaları durdurulmasına rağmen).
- Push tabanlı kimlik doğrulama (standart TOTP olmasa da, diğer uygulamalar için daha alakalı).
- Google Authenticator Avantajları: **
- Birçok hizmet tarafından daha yaygın olarak bilinir ve desteklenir.
- Daha basit uygulama, daha az karmaşık destek altyapısı (hesap yok, yedekleme yok).
- İlk kurulumdan sonra tamamen çevrimdışı (bulut yedeklemesi yok).
Laravel Fortify entegrasyon bakış açısından, bu farklılıklar hiçbir sonucu değildir, çünkü her iki uygulamadan da TOTP kodları Fortify tarafından aynı şekilde doğrulanır.
Fortify kullanımı hakkında ek notlar
Laravel Fortify ön uç görünümleri veya kullanıcı arayüzü sağlamaz; Kimlik doğrulama için arka uç hizmetleri sağlar. Birçok geliştirici Fortify'ı Laravel Jetstream veya diğer UI kitleriyle kullanır. Kullanıcı arayüzünden bağımsız olarak, anahtar, Fortify'ın 2FA sırrını oluşturması ve kodları doğrulaması ve kimlik doğrulayıcı uygulamasının seçimini kullanıcıya bırakmasıdır.
UX'i iyileştirmek veya hesap kurtarmayı daha iyi işlemek için özelleştirme gerekiyorsa ("Two_Factor_Conclemed" bayrağı eklemek, görünümleri özelleştirme vb.), Fortify katmanında uygulanabilir, ancak Authy ve Google Authenticator arasındaki seçimden bağımsızdır.
Çözüm
Evet, arka uç 2FA uygulamanızda herhangi bir değişiklik yapılmadan Laravel Fortify'de Google Authenticator yerine Authy'yi kullanabilirsiniz. Her iki uygulama da Fortify tarafından tamamen desteklenen aynı TOTP standardını kullanır. Authy'yi seçmek, özellikle cihaz kaybı veya çok cihazlı erişim senaryolarında kullanıcılarınız için gelişmiş kullanılabilirlik ve yedekleme özellikleri sunabilir, ancak Laravel geliştirici bakış açısından, entegrasyon aynı kalır. Kullanıcılar, 2FA ayarlamak için Forify tarafından sağlanan QR kodunu tercih ettikleri uygulamayla tararlar.
Bu esneklik, Laravel Fortify'ın Google Authenticator, Authy, Microsoft Authenticator ve diğerleri dahil ancak bunlarla sınırlı olmamak üzere standart TOTP kodları oluşturan herhangi bir uygulama ile çalışmasına izin veren tasarımdır.