Блог

#ibm-appid

#ibm-appid

Вопрос:

Комментарии:

1. Что вы тестировали, каков ваш текущий код, на каком языке? Я предполагаю, что вы знаете об API AppID и его SDK.

2. Наш код — Java, и для Java нет SDK, поэтому мы используем API. При регистрации мы получаем электронное письмо с подтверждением. но не для следующего сеанса после регистрации, когда они просто входят в систему с помощью Un / Pw. Единственными API, которые я видел, которые принимают пароль, являются «регистрация» и «токен», поэтому для процесса входа я попробовал API /token . Я бы подумал, что есть способ отправить Un / Pw в API и получить обратно код гранта, но не могу его найти.

3. Я предполагаю, что эти вызовы API должны поступать из браузера пользователя, чтобы обратный вызов был связан с сеансом пользователя. Я неохотно отправляю заголовки с секретами в браузер или для того, чтобы браузер вернул фактический токен доступа. Казалось бы, проблема безопасности. В настоящее время сервер выполняет эти вызовы и не использует обратный вызов.

4. Я думаю, что это неправильное представление. Взгляните на общий поток: cloud.ibm.com/docs/appid?topic=appid-app Ваше приложение перенаправляет пользователя на AppID для ввода учетных данных. В зависимости от поставщика удостоверений это может даже не быть паролем. Я использовал AppID с логином без пароля FIDO2, используя ключи безопасности

5. Хорошо, мы смогли использовать все API для регистрации, сброса пароля и т.д., используя пользовательские экраны. Мы не можем реализовать многофакторную аутентификацию. Если мы используем через виджет, все работает нормально, но у нас нет никаких API для вызова при использовании наших пользовательских экранов для MFA