Каковы некоторые эффективные способы генерирования запроса / ответа для схемы входа с черного хода?
https://stackoverflow.com/questions/1699149
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
У нас есть система, которая использует аутентификацию по паролю для доступа к базе данных, имена пользователей и зашифрованные пароли хранятся в базе данных.когда пользователь забывает свой пароль (или администратор уходит на более зеленые пастбища), мы хотим иметь возможность сгенерировать новый пароль для текущего администратора или сгенерировать нового администратора.
Мы общаемся с нашими клиентами через телефонную поддержку.Итак, мы хотим использовать этот сценарий:
пользователь звонит - забыли пароль.
клиентское программное обеспечение генерирует код запроса на основе лицензии их сайта
пользователь сообщает сотрудникам службы поддержки по телефону код вызова
сотрудники службы поддержки по телефону дают код ответа
пользователь вводит код запроса и ответа и переходит в черный ход (либо создается новый пользователь, либо сбрасывается пароль текущего пользователя).
Мы хотим, чтобы вызов / ответ сработал только один раз, мы не хотим оставлять черный ход открытым.
как мы должны это сделать?
Решение
сгенерируйте код запроса на основе как лицензии сайта, так и пароля, хранящегося в базе данных.С новым паролем обязательно следующий код вызова будет другим.Никакого черного хода.
Другие советы
Это теория, лежащая в основе калькуляторов PIN-кодов, и вы можете получить для нее различные реализации, так что вам даже не нужно поднимать трубку телефона, но клиент может сгенерировать ее самостоятельно, с помощью мобильный телефон например.
