Note : Cet article a été publié à l'époque où il n'était pas encore disponible : Cet article a été publié à l'origine lors de la publication de l'article sur l'authentification silencieuse. Authentification silencieuse était en bêta. L'authentification silencieuse est maintenant généralement disponible.

Nous sommes heureux d'annoncer que Authentification silencieuse de Vonage dans l'API Verify de Vonage est maintenant en Beta! Nous avons annoncé l'ajout de cette fonctionnalité en janvier de l'année dernière, mais il existe des pratiques exemplaires et des façons efficaces de mettre en œuvre l'API que je vais décrire.

Qu'est-ce que l'authentification silencieuse ?

L'authentification silencieuse est un nouveau mécanisme d'authentification conçu comme une alternative à l'authentification par mot de passe unique. mot de passe à usage unique (OTP) de l'authentification à deux facteurs. L'utilisation de facto de l'OTP consiste actuellement à envoyer un code ou un PIN à un appareil pour vérification ou à utiliser un outil tiers tel que Google Authenticator pour générer un code crypté, sensible au temps, que l'utilisateur peut envoyer pour vérification et qui est également configuré côté serveur.

L'authentification silencieuse de Vonage élimine le besoin d'une deuxième étape dans ce processus en s'intégrant à vos Applications pour créer une trace transparente " en un clic " dans une requête HTTP afin de déterminer l'authenticité de l'utilisateur.

Comment fait-il ?

Lors d'une demande d'authentification silencieuse, Vonage vérifie votre module d'identité d'abonné (SIM) pour s'assurer qu'il correspond aux dossiers de l'opérateur. Vous pouvez en savoir plus sur les nouvelles API de réseau de Vonage de Vonage, introduites plus tôt cette année, qui comprennent une autre couche de sécurité similaire par le biais d'une API appelée SIM Swap. SIM Swap fonctionne en vérifiant depuis combien de temps la carte SIM d'un utilisateur est active sur l'appareil utilisé. Pour fonctionner, l'authentification doit être lancée par l'appareil de l'utilisateur à l'aide d'une connexion cellulaire uniquement - ce qui rend la chose un peu plus délicate pour les intégrations d'applications web, mais dans les applications mobiles natives, vous pouvez utiliser le SDK Android de Vonage ou SDK iOS de Vonage pour forcer la connexion cellulaire.

Il s'agit là d'un compromis important entre les utilisateurs finaux et les développeurs. Essentiellement, pour les utilisateurs, l'authentification devient un processus transparent, réduisant le processus d'authentification à un simple clic sur un bouton. Mais sous le capot, les développeurs doivent comprendre la complexité sous-jacente pour la mettre en œuvre. Par exemple, voici le flux de travail si vous utilisez une application web exécutant NodeJS :

Cela inclut quelques bonnes pratiques ainsi que l'intégration vanille - vous remarquerez que la valeur de request_id est stockée dans un cookie. Comme le flux de travail doit faire plusieurs allers-retours avec le serveur, il est vulnérable à une attaque de type attaque de type "personne au milieu" (Person-in-the-middle). Le code du serveur peut empêcher cela en stockant et en vérifiant que la valeur de request_id correspond tout au long du flux de travail.

Il convient de noter que l'exemple de flux de travail ci-dessus concerne l'implémentation synchrone. Vous pouvez utiliser l'authentification silencieuse de manière asynchrone à l'aide de webhooks. La mise en œuvre de l'authentification asynchrone serait toutefois plus difficile à documenter efficacement, c'est pourquoi nous nous sommes contentés d'expliquer la première solution. Vous pouvez en savoir plus sur les rappels asynchrones ici.

Exemples de codes d'authentification silencieuse

Il existe déjà des fichiers cURL dans l'article que j'ai écrit lorsque nous avons annoncé la version alphamais nous sommes un peu plus loin maintenant et je m'attends à ce que vous vouliez voir des exemples concrets d'utilisation, n'est-ce pas ?

Il n'y a pas de problème. Il y a deux façons rapides de le voir en pratique :

Les express et son tutoriel montre l'exemple le plus simple d'envoi et d'analyse des demandes que vous recevez en retour de l'API.

Pour un exemple plus orienté vers le cadre, j'ai créé l'application Authentification silencieuse Laravel de Laravel. Oui, c'est du php et Laravelmais si ce n'est pas votre truc, l'implémentation doit être lisible et portable pour d'autres frameworks. Laravel, par exemple, a été influencé par et influence maintenant aussi Ruby on Rails et dans le monde PHP, Symfony a été influencé par le framework Python Djangode Python et Spring Boot de Java. Authentification fantaisiste pour tous !

L'authentification silencieuse fait partie de la solution Vonage Verify V2 de Vonage - Vous disposez donc d'options si, par exemple, le processus d'authentification silencieuse échoue parce que le territoire n'est pas pris en charge par Vonage. territoire n'est pas pris en charge ou que l'appareil est connecté via WiFi. Vous disposez d'autres flux de travail, et pour revenir à un OTP délivré par SMS, vous pouvez l'ajouter au début du flux de travail. Dans le code, une requête ressemblerait à ce qui suit en cURL :

Sous le tableau workflow vous pouvez spécifier plusieurs options dans l'ordre dans lequel vous souhaitez tenter l'authentification.

Conclusion

La sécurité par l'authentification devient de plus en plus un aspect essentiel des applications modernes. C'est la raison pour laquelle API de réseau de Vonage de Vonage peuvent être considérées comme le début des " blocs de construction " de la sécurité dans votre application. L'authentification silencieuse, de la même manière, est conçue pour être ajoutée en tant que première tentative d'authentification de l'utilisateur avant de revenir à d'autres méthodes telles que le SMS ou la Voice.

Vous avez des questions ? Vous pouvez vous inscrire à notre communauté Slack ou nous taguer sur X.