Anmerkung: Dieser Artikel wurde ursprünglich veröffentlicht, als die Stille Authentifizierung war in Beta war. Die stille Authentifizierung ist jetzt allgemein verfügbar.

Wir freuen uns, Ihnen mitteilen zu können, dass Stille Authentifizierung von Vonage innerhalb der Vonage Verify API jetzt in der Beta! Wir haben diese Funktionalität bereits im Januar letzten Jahres angekündigt, aber es gibt einige Best Practices und effiziente Möglichkeiten, die API zu implementieren, die ich Ihnen erläutern werde.

Was ist stille Authentifizierung?

Die stille Authentifizierung ist ein neuer Authentifizierungsmechanismus, der als Alternative zum Einmal-Passwort (OTP), dem Industriestandard der Zwei-Faktor-Authentifizierung. Die De-facto-Verwendung von OTP besteht derzeit darin, einen Code oder eine PIN zur Verifizierung an ein Gerät zu senden oder ein Tool eines Drittanbieters zu verwenden, z. B. Google Authenticator zu verwenden, um einen verschlüsselten, zeitabhängigen Code zu generieren, den der Benutzer zur Überprüfung senden kann und der auch serverseitig eingerichtet wird.

Die Silent Authentication von Vonage macht einen zweiten Schritt in diesem Prozess überflüssig, indem sie sich in Ihre Applications integriert, um eine nahtlose "Ein-Klick"-Verfolgung in einer HTTP-Anfrage zur Feststellung der Authentizität des Benutzers zu erstellen.

Wie macht sie das?

Bei einer Anfrage zur stillen Authentifizierung prüft Vonage Ihr Subscriber Identity Module (SIM), um sicherzustellen, dass es mit den Aufzeichnungen des Netzbetreibers übereinstimmt. Lesen Sie mehr über Vonage's neuen Netzwerk-APIs die Anfang des Jahres eingeführt wurden und eine weitere ähnliche Sicherheitsebene durch eine API namens SIM-Tausch. SIM Swap prüft, wie lange die SIM-Karte des Nutzers auf dem verwendeten Gerät aktiv war. Um zu funktionieren, muss die Authentifizierung vom Gerät des Nutzers gestartet werden, das nur eine Mobilfunkverbindung nutzt. Das macht es für die Integration von Webanwendungen etwas schwieriger, aber in nativen mobilen Anwendungen können Sie das Vonage Android SDK oder iOS SDK verwenden, um die Verbindung über das Mobilfunknetz zu erzwingen.

Hier gibt es einen großen Kompromiss zwischen Endnutzern und Entwicklern. Für die Benutzer wird die Authentifizierung zu einem nahtlosen Prozess, der sich auf einen Mausklick reduziert. Unter der Haube jedoch müssen die Entwickler die zugrunde liegende Komplexität verstehen, um sie zu implementieren. Hier ist zum Beispiel der Arbeitsablauf, wenn Sie eine Webanwendung mit NodeJS verwenden:

Dies umfasst einige bewährte Verfahren sowie die Vanilla-Integration - Sie werden feststellen, dass der request_id Wert in einem Cookie gespeichert wird. Da der Arbeitsablauf mehrmals mit dem Server hin- und hergehen muss, ist der Arbeitsablauf anfällig für einen Person-in-the-middle-Angriff. Der Code auf dem Server kann dies verhindern, indem er speichert und überprüft, dass die request_id während des gesamten Arbeitsablaufs übereinstimmt.

Es sei darauf hingewiesen, dass der obige Beispiel-Workflow für die synchrone Implementierung gilt. Sie können die stille Authentifizierung asynchron mit Webhooks verwenden. Die Implementierung für die asynchrone Verwendung wäre jedoch schwieriger zu dokumentieren, weshalb wir uns darauf beschränken, nur die asynchrone Implementierung zu erläutern. Sie können mehr über asynchrone Rückrufe erfahren Sie hier.

Beispiele für stillen Authentifizierungscode

Es gibt einige bestehende cURL Beispiele in dem Artikel, den ich geschrieben habe, als wir die Alpha-Version angekündigt habengeschrieben habe, aber wir sind jetzt etwas weiter, und ich gehe davon aus, dass Sie ein paar Beispiele für den praktischen Einsatz sehen wollen, oder?

Das ist kein Problem. Es gibt zwei schnelle Möglichkeiten, dies in der Praxis zu sehen:

Die Website express Anwendungsbeispiel und das dazugehörige Lehrgang zeigt das einfachste Beispiel für das Senden und Parsen von Anfragen, die Sie von der API zurückbekommen.

Für ein eher Framework-orientiertes Beispiel habe ich die Stille Authentifizierung Laravel App-Demo erstellt. Ja, sie besteht aus php und Laravelaber wenn das nicht Ihr Ding ist, sollte die Implementierung lesbar und auf andere Frameworks portierbar sein. Laravel, zum Beispiel, wurde beeinflusst von und beeinflusst jetzt auch Ruby on Rails und innerhalb der PHP-Welt, Symfony wurde von Python beeinflusst und beeinflusst auch Pythons Djangound Java's Spring Boot. Fancy Authentifizierung für alle!

Die stille Authentifizierung ist Teil des Vonage Verify V2 - Sie haben also Optionen zur Verfügung, wenn der Arbeitsablauf der stillen Authentifizierung beispielsweise fehlschlägt, weil entweder das Gebiet nicht unterstützt wird oder das Gerät über WiFi verbunden ist. Sie haben andere Workflows zur Verfügung. Um auf ein per SMS zugestelltes OTP zurückzugreifen, können Sie es am Anfang des Workflows hinzufügen. Innerhalb des Codes würde eine Anfrage in cURL wie folgt aussehen:

Unter dem workflow können Sie mehrere Optionen in der Reihenfolge angeben, in der Sie die Authentifizierung versuchen möchten.

Schlussfolgerung

Sicherheit durch Authentifizierung wird mehr und mehr zu einem wesentlichen Aspekt moderner Applications. Dies ist der Grund, warum Netzwerk-APIs von Vonage als erste "Bausteine" für die Sicherheit in Ihrer Anwendung betrachtet werden. Die stille Authentifizierung ist so konzipiert, dass sie als erster Versuch einer sicheren Benutzerauthentifizierung eingesetzt werden kann, bevor auf andere Methoden wie SMS oder Voice zurückgegriffen wird.

Haben Sie Fragen? Sie können sich sich bei unserer Slack-Community anmelden oder uns auf X markieren.