Как правильно использовать google authenticator при логине?

Здравствуйте. Мне нужно использовать google authenticator для обеспечения более безопасного входа на сайт.
На сайте есть 5 пользователей. Вот то, что я сделала:
1. На локальном сайте вывела qr code, для его создания использовался secret key , например "abcd" (только пример)) . Сохранила эту картинку себе нам пк. Также сфоткала в программе google authenticator для получения временного кода.
2.В таблице users создала новое поле "ga_secret" и всем пользователям установила это значение как "abcd".
3. Далее при логине для проверке вводного кода использую "ga_secret". Если всё совпало - вхожу на сайт.
4.Т.е у меня есть эта картинка с qr кодом. Я её отсылаю , например, на email-ы всем пользователям, они её сканируют в программе google authenticator и далее используют код с программы для входа на сайт.
Правильно ли я понимаю алгоритм действий ? Правильно ли, что ga_secret одинаковый для всех пользователей?
Если нет, подскажите, пожалуйста, как должно всё это выглядеть .
Спасибо!
  • Вопрос задан
  • 94 просмотра
Пригласить эксперта
Ответы на вопрос 2
@CHolfield
Секреты лучше разные для разных людей сделать. Часовой пояс значения не имеет. В остальном несколько извращенно, но приемлемо.
Ответ написан
xmoonlight
@xmoonlight Куратор тега PHP
https://sitecoder.blogspot.com
Расшарили учётку - корректно.
Но сам факт того, что Вы раздали всем одинаковые данные аутентификации - грандиозный EPIC FAIL!
Вы сделали HUB, а нужен - ROUTER! Понимаете?
Посмотрите псевдокод и реализуйте роутер, чтобы иметь контроль каждого пользователя.
Вот реализация на PHP.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы