当人们使用 2FA 登录网站时,人们会从手机上的谷歌身份验证器应用读取生成的 TOTP 代码,并将其输入到他尝试登录的网站上。
我正在设计通过 Web API 在两个系统之间进行后端集成。我不太愿意让两个系统保留相同的加密密码。我想在这个过程中引入类似 2FA 的东西。显然,这个过程不需要人工来读取身份验证器应用程序中的代码。那么,行业标准/推荐的方法是什么呢?
答案1
如果密码是服务器知道那么证书可能是服务器有。
考虑使用以下方式保护基于 Web 的 APITLS 具有相互认证客户端(因为另一台服务器在这里充当客户端)也通过 TLS 进行身份验证。这样,只有当两端都首先使用其证书进行身份验证时,才会交换密码。