我们很高兴地宣布我们的多因素认证API的可用性。到目前为止，我们已经通过Auth0仪表板中的一个简单开关来提供对MFA的支持，遵循我们的简单易用的前提。然而，我们也相信为我们的用户提供强大的积木。因此，我们开发了一个新的API来以灵活方便的方式执行完整的MFA流，即使使用多个身份验证器也是如此。在本文中，我们将研究API并构建一个简单的CLI应用程序来演示如何使用它。继续读！"MFA API现在可用，学习如何在应用程序中嵌入MFA，从而完全控制体验！"在推特上留言注意：对于大多数MFA场景，我们仍然建议尽可能使用通用登录。这个新的API适用于通用登录不够灵活的高级用例。在大多数情况下，通用登录是最好的选择。为什么？到目前为止，在Auth0上启用MFA只是简单地打开一个开关，大数据的解决方案，然后选择要为哪个应用程序启用MFA。当启用MFA时，点击/authorize端点或启动通过我们的库之一的授权流就足以触发MFA。简单，有哪些云服务器，方便。然而，我们的一些客户要求对MFA过程有更多的控制。出于这个原因，我们一直在与ATEA Norge和其他客户合作，在一个私有的BETA程序下寻找这个特性的正确实现。需要返回一个新的mfapi控件。我们来看看吧。注意：对于大多数MFA场景，我们仍然建议尽可能使用通用登录。这个新的API适用于通用登录不够灵活的高级用例。在大多数情况下，通用登录是最好的选择。一个简单的APIAPI的工作原理是对/token端点的行为进行一些更改。让我们看看。新的MFA API很简单，它在现有的/令牌终结点之上工作在推特上留言API的工作步骤如下：对/token的访问令牌请求。质询请求/质询。要求用户输入代码（如有必要）。对/令牌的最终请求。此方案假定用户已注册到MFA中，并且至少启用了一个验证器。还有一个新的注册API可以完全控制注册过程。此API还允许获取关联的验证器列表，这对于使用多个验证器非常有用，我们将在下面的步骤2中看到。1对/Token的访问令牌请求当向/token端点发出请求以获取访问令牌时，通常您要么得到一个错误，要么得到一个访问令牌。但是，启用mfaapi时，/token端点可能会返回一个新的错误代码：MFA_required。POST/oauth/token HTTP/1.1后...{"用户名"："…"，"密码"："…"，"grant_type"："密码"...}回应：HTTP/1.1 403禁止...{"error"："需要mfa_"，"mfa_token"："…"}响应值中的mfa_令牌必须用于以下请求。刷新令牌授予类型也支持MFA。这允许在刷新访问令牌时需要2FA（TOTP、SMS、push-notifications）的用例，这对于额外的安全性和升级身份验证非常有用。2执行MFA挑战当返回mfa_required错误时，客户端必须执行质询。这是通过向/mfa/challenge端点发送请求来完成的。发布/mfa/challenge HTTP/1.1...{"mfa_token"：""，"challenge_type"："otp oob"，"authenticator_id"："可选，如果已知"}回应：HTTP/1.1 200行...{"challenge_type"："oob"，"binding_method"："提示"，"oob_代码"："…"}响应告诉客户端将使用哪种类型的验证器（challenge_type），并返回与该方法相关的其他参数。binding_method参数告诉客户端它应该向用户请求代码。客户端可以选择通过authenticator_id请求特定的验证器。这允许多个验证器，即使对于同一个资源也是如此。OOB的意思是"带外"。所有不是TOTP的方法都是OOB。三。提示输入（如有必要）如果challenge_类型为otp或binding_method参数设置为prompt，则客户端应要求用户在继续之前输入代码。4获取访问令牌最后，如何获得大数据，执行对/token端点的新请求。POST/oauth/token HTTP/1.1后...{"mfa_token"：""，"oob_code"：""，"binding_code"：""，"otp"：""，"grant_type"：""}授予类型必须是以下两个值之一：-对于OTP：对于OOB：回应：HTTP/1.1 200行...{"access_token"："…"，"expires_in"："…"，快速自助建站，...}请注意，某些方法不需要用户输入任何内容（例如，推送通知）。对于这些情况，必须重复执行此请求，直到返回访问令牌或拒绝授权为止。如果客户希望在将来（经过一定时间后）再次重复请求，则响应将是：HTTP/1.1 400错误请求...{"error"："授权\u挂起"}这意味着用户尚未执行任何操作，客户端应稍等片刻再重试。如果客户端在请求之间没有足够的等待时间，错误也会减慢。就这样！如果一切顺利，tnrt新零售企业应用中心，你现在有了一个通过MFA颁发的访问令牌！示例：带有MFA的CLI应用程序为了让您更好地理解API的工作原理，我们开发了一个使用MFA的简单CLI应用程序。看看GitHub中的完整代码。您将在/令牌中找到有趣的部分-端点.mjs文件，尤其是在令牌函数中。要使用该应用程序，请确保：-您已在Auth0仪表板中创建了一个新应用程序。选择机器对机器类型。-在Auth0应用程序设置中，令牌身份验证方法设置为"无"。-您已经在"应用程序"->"高级设置"->"授予类型"中启用了密码和MFA授予。-您已启用MFA。转到Multifactor Auth并为Guardian启用短信和推送通知。-您已经在Multifactor Auth部分的MFA规则中设置了正确的客户端ID（从应用程序设置区域获取）。否则，将为所有客户端启用MFA。要使用该应用程序，只需执行以下操作：git克隆git@github.com：auth0 blog/oauth2 mfa cli-示例.gitcd oauth2 mfa cli示例npm安装节点src/索引.js登录该应用程序支持其他一些命令。你可以不带参数地运行它来查看它们。其他用例天涯海角！以下是使用新的MFA API可能有意义的一些场景：用第二个因素保护像OpenVPN（Pritnul）或Juniper这样的VPN。与PAM模块集成以使用SSH执行第二个因素。与LDAP服务集成以提供第二个因素。刷新访问令牌时加强身份验证（刷新令牌授权）。从任何后端进程触发第二个因素。你现在可以自由构建强大的MFA流到任何你想！结论mfaapi为应用程序中MFA的使用带来了灵活性。您可能已经注意到，我们使用的是oauth2.0/token端点。事实上，我们从一开始就将其设计为与OAuth 2.0兼容。我们准备了两个规范草案，一个用于MFA，另一个用于authenticator关联，将发送给ietfoauth2.0工作组。oauth2.0的其他实现可以遵循这些规范，以灵活而强大的方式实现MFA，同时保持兼容性。我们将在下一篇文章中对此有更多的信息。我们迫不及待地想看看你如何使用这个API来构建强大的多因素流！请在评论中告诉我们你的想法。"我们迫不及待地想知道您如何使用此API构建强大的多因素流！"在推特上留言Auth0文档在几分钟内实现身份验证OAuth2和OpenID连接：专业指南获取免费电子书！.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；显示：块；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{显示：块；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.灯箱。