Spring Security 4 2FA

Question

поэтому я пытаюсь обеспечить веб-приложение, которое я создал с использованием весны mvc и безопасности. В настоящее время у меня есть основное имя пользователя и пароль с обычной пользовательской страницы входа, работающей с использованием специализированного поставщика проверки подлинности, чтобы предоставить заполненный объект проверки подлинности, который проверяется в отношении базы данных. Мне интересно, как реализовать второй этап ведения журнала, в котором используется TOTP? Я могу получить выдачу и проверку TOTP для работы, но я не знаю, как изменить весеннюю безопасность, чтобы принять изменение авторизации посредством отправки формы токена на другую страницу, кроме указанной мной страницы входа.

Answer 1

Таким образом, в основном то, что я закончил, было использование authy api (http://docs.authy.com/) для выполнения доставки и проверки TOTP. После первоначального входа я предоставляю им ROLE_PRE_AUTH и затем отправляю их на защищенную страницу для обработки TOTP. Затем я использовал

 Authentication auth = SecurityContextHolder.getContext().getAuthentication(); 
     List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>(auth.getAuthorities()); 
     authorities.add(new SimpleGrantedAuthority("ROLE_USER")); 
     Authentication newAuth = new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(), authorities); 
     SecurityContextHolder.getContext().setAuthentication(newAuth); 

, чтобы обновить роли пользователя, как только я подтвердил, что они имеют действительный TOTP.