Следуя этой статье от Auth0 Перенаправить пользователей из правил, мы имеем следующий сценарий в нашем приложении. :
- Пользователь пытается войти
- для некоторых определенных критериев они могут быть перенаправлены на конечную точку, которая запрашивает контрольные вопросы
при правильном ответе механизм аутентификации возобновляет работу с использованием указанного URL-адреса:
domain/continue?state=STATE_GENERATED
Мы создали образец приложения, хорошо работающего с одной проблемой. Пользователи могут видеть сгенерированное Auth0 «состояние»; будь то в перенаправлениях или на сетевых вкладках браузера.
Итак, мы попробовали следующее:
логин -> перенаправить на контрольный вопрос (состояние добавлено к URL-адресу) -> мы не продолжили, а скопировали состояние и запустили URL-адрес резюме в браузере:
https://DOMAIN.auth0.com/continue?state=THE_ORIGINAL_STATE
Из того же браузера он сделал перенаправление в наше приложение с токеном. Пользователи могут смягчить такие сложные вопросы.
Какова наилучшая практика/рекомендуемый способ защиты «состояния» в аналогичных потоках, где многофакторная проверка подлинности выполняется с использованием правил и перенаправления из правил?