Compartir:
){kind=small}
Actor de formación con una disertación sobre la comedia, llegué al desarrollo de PHP a través de la escena de las reuniones. Puedes encontrarme hablando y escribiendo sobre tecnología, o tocando/comprando discos raros de mi colección de vinilos.
Presentamos la autenticación silenciosa de Vonage
Tiempo de lectura: 5 minutos
Tenga en cuenta lo siguiente: La autenticación silenciosa está ahora en Beta. Obtenga más información en nuestro anuncio de lanzamiento.
Vonage se complace en presentar autenticación silenciosa ¡a nuestra Verify API! El canal de autenticación silenciosa ha sido agregado como parte de Verify V2 y actualmente se encuentra en la fase alfa del producto. En este artículo, explicaremos qué es, qué hace y cómo utilizarlo. Para empezar, responderemos a lo siguiente:
La autenticación silenciosa es un desarrollo reciente en los flujos de trabajo de autenticación personal que utiliza el Módulo de Identidad del Abonado (SIM) de su teléfono móvil como su identidad, cotejada con los registros del operador para asegurarse de que su número está activo y es auténtico. Una vez verificada la solicitud, el vendedor/cliente puede acceder al mismo punto final cada vez que el usuario quiera autenticarse, lo que será válido hasta que la solicitud caduque o sea cancelada por el cliente. Lo que esto se traduce efectivamente es usar su teléfono móvil como contraseña.
Contraseñas de un solo uso (OTP) se utilizan ampliamente para la autenticación de dos factores en todo el mundo. El uso principal de hecho de nuestra Verify API es utilizar una OTP enviada al SMS de un cliente. Pero seamos sinceros: como cliente, las OTP son molestos. Por supuesto, es una capa de seguridad añadida (en breve explicaremos por qué esto no es necesariamente cierto). Sin embargo, para un vendedor que depende de pocos clics o puntos de navegación en un flujo de trabajo (como el comercio electrónico), está aumentando la resistencia a completar un flujo (es decir, comprar un artículo). El comercio electrónico suele requerir el camino de menor resistencia, por lo que, desde esa perspectiva, la autenticación silenciosa elimina por completo ese paso adicional para iniciar sesión o comprobar el carro.
La seguridad también es motivo de preocupación: es un error común pensar que la 2FA hace que el flujo de usuarios sea extremadamente difícil de descifrar, pero esto no tiene en cuenta que phishing por SMS es un vector de ataque muy utilizado por los estafadores. Al trasladar la autenticación directamente entre el operador y el dispositivo móvil, se elimina la amenaza del phishing.
Al más puro estilo de los desarrolladores, no haríamos bien nuestro trabajo si no señaláramos que no hay nada que lo solucione todo en lo que respecta a la verificación del usuario: al igual que en ingeniería, hay ventajas y desventajas. Hay dos desventajas principales:
La autenticación silenciosa comparte un bloqueo común con la verificación por SMS: el usuario necesita un dispositivo móvil. Aunque las estadísticas muestran que la posesión de teléfonos inteligentes en los países occidentales va camino de superar pronto el 90% (por ejemplo, el 88% de la población británica tiene un smartphone), no se tiene en cuenta una audiencia global en la que la calidad del servicio o la economía pueden ser obstáculos activos.
El móvil del usuario debe tener activados los datos móviles. Es un paso pequeño, pero no deja de ser una complicación extra en un proceso que quieres que sea lo más sencillo posible.
Cómo realizar una solicitud de verificación de autenticación silenciosa
Voy a mostrarte el método síncrono de implementar la Autenticación Silenciosa, pero no vale nada que puedas hacer cualquiera de los dos: este método síncrono depende de que el cliente del dispositivo haga una serie de llamadas para completarse, pero puedes usar un flujo de trabajo asíncrono sin tener que cambiar nada. Cada parte del flujo de trabajo también se incluye en webhook callbacks a la URL de elección en la configuración de la aplicación.
Empecemos con la implementación sincrónica. En primer lugar, vamos a querer hacer una llamada para iniciar el proceso:
Siempre que no haya alcanzado los límites de aceleración y el token de autorización sea correcto, debería obtener una respuesta HTTP 202 con su request_id como referencia y un campo check_url:
{
"request_id": "c11236f4-00bf-4b89-84ba-88b25df97315",
"check_url": "https://api.nexmo.com/v2/verify/31eaf23d-b2db-4c42-9d1d-e847e75ab330/silent-auth/redirect"
}La dirección check_url es un enlace que hay que seguir para continuar el proceso, por lo que el código del cliente debe hacer precisamente eso. Cuando lo sigas, recibirás un número variable de redirecciones 302 en función del territorio y el operador que utilice el dispositivo de destino:
HTTP/1.1 302 Found
Location: https://eu.api.silentauth.com/phone_check/v0.2/checks/31eaf23d-b2db-4c42-9d1d-e847e75ab330/redirectSiguiendo los redireccionamientos se obtendrá un HTTP 200 o HTTP 409 dependiendo de si la solicitud es válida. Si hay un problema con el uso de la red, obtendrá la siguiente respuesta:
HTTP/1.1 409 CONFLICT
Content-Type: application/json
{
"title": "Network error",
"detail": "The Silent Auth request could not be completed due to formatting or the carrier is not supported."
}Pero, si todo va bien, obtendrá un HTTP 200 con la siguiente carga útil de ejemplo:
{
"request_id": "31eaf23d-b2db-4c42-9d1d-e847e75ab330",
"code": "si9sfG"
}La última parte del flujo de trabajo consiste en enviar el archivo code para que se compruebe, del mismo modo que se haría con los otros canales de Verify.
POST https://api.nexmo.com/v2/verify/31eaf23d-b2db-4c42-9d1d-e847e75ab330 HTTP/1.1
Content-Type: application/json
{
"code": "si9sfG"
}Las respuestas son las mismas que si estuviera comprobando un código entregado por los otros flujos de trabajo como SMS, por lo que si el código es válido:
{
"request_id": "31eaf23d-b2db-4c42-9d1d-e847e75ab330",
"status": "completed"
}O, si hay un error:
{
"title": "Invalid Code",
"type": "https://www.developer.vonage.com/api-errors/verify#invalid-code",
"detail": "The code you provided does not match the expected value.",
"instance": "bf0ca0bf927b3b52e3cb03217e1a1ddf"
}Sí, hay bastantes pasos para desarrollador esta solución, pero la belleza está en que el usuario final una experiencia sin fisuras. ¿Teléfono correcto, operador válido? Listo, ¡ya has iniciado sesión!
La autenticación silenciosa marca el inicio de una serie de productos en los que estamos trabajando este año. Puedes registrarte con nosotros si quieres empezar a usar la Autenticación Silenciosa para activar la vista previa para desarrolladores, y mientras tanto - tenemos algunos productos ingeniosos que nos entusiasman en 2023. ¿Quieres estar al día? Siga nuestra Twitter Developer Account o consulta nuestra documentación para desarrolladores.
Compartir:
Actor de formación con una disertación sobre la comedia, llegué al desarrollo de PHP a través de la escena de las reuniones. Puedes encontrarme hablando y escribiendo sobre tecnología, o tocando/comprando discos raros de mi colección de vinilos.