Partager:
){kind=small}
Acteur de formation avec une thèse sur la comédie, je suis venu au développement PHP par le biais de la scène des rencontres. Vous pouvez me trouver en train de parler et d'écrire sur la technologie, ou de jouer/acheter des disques bizarres de ma collection de vinyles.
Présentation de l'authentification silencieuse de Vonage
Temps de lecture : 5 minutes
A noter : L'authentification silencieuse est désormais en version bêta. Pour en savoir plus, consultez notre communiqué de presse.
Vonage est heureux d'apporter Authentification silencieuse dans notre Verify API ! Le canal d'authentification silencieuse a été ajouté dans le cadre de Verify V2 et se trouve actuellement dans la phase Alpha du produit. Dans cet article, nous verrons ce qu'il est, ce qu'il fait et comment l'utiliser. Pour commencer, nous allons répondre aux questions suivantes :
L'authentification silencieuse est un développement récent dans les flux de travail d'authentification personnelle qui utilise le module d'identité de l'abonné de votre téléphone mobile. module d'identité de l'abonné (SIM) de votre téléphone mobile comme identité, vérifiée dans les dossiers de l'opérateur pour s'assurer que votre numéro est actif et authentique. Une fois qu'une demande a été vérifiée, un consommateur, un vendeur ou un client peut alors utiliser le même point d'accès chaque fois qu'un utilisateur souhaite s'authentifier, ce qui sera valable jusqu'à ce que la demande expire ou qu'elle soit annulée par le client. Ce qui se traduit en fait par : utiliser votre téléphone portable comme mot de passe.
Les mots de passe à usage unique Les mots de passe à usage unique (OTP) sont largement utilisés pour l'authentification à deux facteurs dans le monde entier. La principale utilisation de facto de notre Verify API est l'utilisation d'un OTP envoyé au SMS d'un client. Soyons honnêtes : en tant que client, les OTP sont ennuyeux. Certes, il s'agit d'une couche de sécurité supplémentaire (nous verrons bientôt pourquoi ce n'est pas nécessairement vrai). Cependant, pour un vendeur qui s'appuie sur un nombre réduit de clics ou de points de navigation dans un flux de travail (comme le commerce électronique), vous augmentez la résistance à l'achèvement d'un flux (c.-à-d. l'achat d'un article). Le commerce électronique nécessite généralement le chemin de moindre résistance, donc de ce point de vue, l'authentification Silent supprime complètement cette étape supplémentaire de connexion ou de vérification de votre panier.
La sécurité est également un sujet de préoccupation - on pense souvent à tort que le 2FA rend le flux d'utilisateurs extrêmement difficile à pirater, mais cela ne tient pas compte du fait que le hameçonnage par SMS est un vecteur d'attaque très répandu utilisé par les escrocs. En transférant l'authentification directement entre l'opérateur et l'appareil mobile, la menace du phishing est éliminée.
En véritables développeurs, nous ne ferions pas notre travail correctement si nous ne soulignions pas que rien n'est parfait en matière de vérification par l'utilisateur - tout comme en ingénierie, il y a des compromis à faire. Il y a deux inconvénients principaux à l'utiliser :
L'authentification silencieuse a un point commun avec la vérification par SMS : l'utilisateur doit disposer d'un appareil mobile. Alors que les statistiques montrent que le taux de possession de smartphones dans les pays occidentaux devrait bientôt dépasser les 90 % (88 % de la population britannique possède un smartphone, par exemple), elles ne tiennent pas compte d'un public mondial pour lequel la qualité du service ou l'économie peuvent être des obstacles actifs.
Le téléphone portable de l'utilisateur doit avoir activé les données cellulaires. C'est une petite étape, mais néanmoins une complication supplémentaire dans un processus que l'on souhaite aussi simple que possible.
Comment faire une demande de vérification d'authentification silencieuse ?
Je vais vous montrer la méthode synchrone de mise en œuvre de l'authentification silencieuse, mais il n'est pas inutile de faire l'un ou l'autre : cette méthode synchrone s'appuie sur le client de l'appareil pour effectuer une série d'appels pour compléter, mais vous pouvez utiliser un flux de travail asynchrone sans avoir à changer quoi que ce soit. Chaque partie du flux de travail est également incluse dans les rappels de webhook vers l'URL de choix dans la configuration de l'application.
Commençons donc par l'implémentation synchrone. Tout d'abord, nous voulons faire un appel pour démarrer le processus :
Si vous n'avez pas atteint les limites de l'étranglement et que le jeton d'autorisation est correct, vous devriez obtenir une réponse HTTP 202 avec votre request_id pour référence et un check_url:
{
"request_id": "c11236f4-00bf-4b89-84ba-88b25df97315",
"check_url": "https://api.nexmo.com/v2/verify/31eaf23d-b2db-4c42-9d1d-e847e75ab330/silent-auth/redirect"
}Le check_url est un lien à suivre pour poursuivre le processus, et c'est ce que vous devez faire dans votre code côté client. Lorsque vous le suivez, vous recevrez un nombre variable de redirections 302 en fonction du territoire et de l'opérateur que l'appareil cible utilise :
HTTP/1.1 302 Found
Location: https://eu.api.silentauth.com/phone_check/v0.2/checks/31eaf23d-b2db-4c42-9d1d-e847e75ab330/redirectEn suivant les redirections, vous obtiendrez soit un HTTP 200 ou HTTP 409 selon que la demande est valide ou non. En cas de problème d'utilisation du réseau, vous obtiendrez la réponse suivante :
HTTP/1.1 409 CONFLICT
Content-Type: application/json
{
"title": "Network error",
"detail": "The Silent Auth request could not be completed due to formatting or the carrier is not supported."
}Mais, si tout va bien, vous obtiendrez un HTTP 200 avec l'exemple suivant :
{
"request_id": "31eaf23d-b2db-4c42-9d1d-e847e75ab330",
"code": "si9sfG"
}La dernière partie du flux de travail consiste à envoyer l'élément code pour qu'il soit vérifié, de la même manière que pour les autres canaux de vérification.
POST https://api.nexmo.com/v2/verify/31eaf23d-b2db-4c42-9d1d-e847e75ab330 HTTP/1.1
Content-Type: application/json
{
"code": "si9sfG"
}Les réponses sont les mêmes que si vous vérifiez un code délivré par d'autres flux de travail tels que le SMS, c'est-à-dire si le code est valide :
{
"request_id": "31eaf23d-b2db-4c42-9d1d-e847e75ab330",
"status": "completed"
}Ou, en cas d'erreur :
{
"title": "Invalid Code",
"type": "https://www.developer.vonage.com/api-errors/verify#invalid-code",
"detail": "The code you provided does not match the expected value.",
"instance": "bf0ca0bf927b3b52e3cb03217e1a1ddf"
}Oui, il y a un certain nombre d'étapes pour développeur à mettre en œuvre dans cette solution, mais la beauté réside dans l'utilisation par l'utilisateur final. l'utilisateur final l'expérience de l'utilisateur final. Téléphone correct, opérateur valide ? C'est fait, vous êtes connecté !
Silent Authentication marque le début d'une série de produits sur lesquels nous travaillons cette année. Vous pouvez vous inscrire auprès de nous si vous souhaitez commencer à utiliser l'authentification silencieuse pour activer l'aperçu des développeurs, et en attendant - nous avons quelques produits astucieux que nous sommes impatients de voir arriver en 2023. Vous voulez être tenu au courant ? Suivez notre Account développeur sur Twitter ou consultez nos documents destinés aux développeurs.
Partager:
Acteur de formation avec une thèse sur la comédie, je suis venu au développement PHP par le biais de la scène des rencontres. Vous pouvez me trouver en train de parler et d'écrire sur la technologie, ou de jouer/acheter des disques bizarres de ma collection de vinyles.