로그인 시, 2차 인증 (Two Factor Authentication)을 하도록 합니다.
인증 수단은 OTP(구글 otp 혹은 기타 otp 앱), 이메일, 문자(SMS)가 있습니다.
이메일, 문자같은 경우 라이믹스에 설정해두신 발송 방식으로 발송됩니다.
▲ 유저가 직접 마이페이지에서 2차 인증 사용 여부와 사용 수단을 설정할 수 있습니다.
▲ 로그인시 인증 번호를 입력합니다. 또한 인증 메일/SMS는 재전송이 가능합니다.
캡챠를 사용할 수 있을경우, 캡챠 인증을 합니다.
▲ 관리자 페이지입니다
※ 본 모듈은 YJSoft님(feat. 람보님)의 GoogleOTP 모듈을 개량하여 만들었습니다
유용하셨다면 커피 한잔이라도 후원해주세요 : ***
다운로드 / 깃허브 : https://github.com/Waterticket/xe-module-otp
구글OTP 앱을 재설치 하고 다시 연동 시키면 안되기 때문에 꼭 해제를 하고 삭제를 해야 한다고 이해하면 될까요?
연동을 하기 위한 로그인이 안되서 재 연동 시도 자체를 못하게 되는 거군요.
이런 경우를 대비하기 위해 저 key? 라고 하나요. 그걸 보통 백업하는 안내를 하던데 key 를 알려주는 것은 어떨까요?
별도로 인증키 같은거 메모장에 기록해 놓곤 하거든요.
아뇨 그런 의미는 아닌데, 구글 OTP에 구글 계정을 연동해주시지 않으신 분들은 앱을 삭제하면 등록해둔 정보도 날아가는 경우가 많더라고요
이렇게 되면 로그인이 안되서 다시 연동을 못하니 문제가 발생하는 거죠..
QR코드를 인식해서 등록한 정보는 변경되지 않으므로, 저장해둔 정보가 날아가지만 않는다면 굳이 비활성화 하지 않으셔도 됩니다.
원본 모듈에 있던 문구라서 거의 그대로 가져왔는데, 수정을 거쳐야할 것 같네요
+) 모듈 Todo에 이메일 등으로 비밀번호 초기화 하듯이 OTP 인증을 초기화하는 작업이 있던데, 해당 기능이 개발된다면 없어져도 되는 문구가 되겠네요
저 qr코드만 보고는 인증키문자열을 파악하기 어려운데 쉽게 추출할 수 있을까요? 아예 출력을 해주면 좋을 것 같은데요. 최초 1회만 출력해주고 복사할 기회를 준다던가...
뭐 OTP 앱에서 확인 가능 할 것 같긴 합니다만... 앱을 살펴봐야겠네요.
앱에서 입력된 인증키 확인은 안되네요.
저는 다른 서비스 구글 OTP 인증키 를 백업했던게 있어서 이걸 자연스럽게 생각할 수도 있겠습니다.
저는 반대로 생각합니다. 연동 기회를 최초 1회 기회를 주고 이후 상시로 보여주지 않는 방식이 좋고 어디에서도 해제 할 수 없는게 보안이 제일 높다고 봅니다. 다른 수단으로 해제는 편의는 높지만 보안은 떨어지는것이죠.
이메일 등으로 OTP사용중을 해제하는 기능은 보안에 더 안좋아 보입니다.
그래서 다른 서비스들은 연동할때 qr코드를 보여줄때 보안키를 백업해두라고 같이 보여줍니다.
이후 연동 후에는 다시 누구도 해당 qr이나 인증키는 열람이 안됩니다. 본인 조차도요.
그래서 뭔가 준비도 못한채 앱을 다시 설치할 경우를 대비해서 인증키는 백업을 해두게 되는것이구요.
물론 어떠한 방식을 채택하는지는 개발자 분께서 결정을 하신 것이고 구글이나 다른 서비스에서 하는 방식이 좋다는 것은 제 의견일 뿐입니다.
가상자산 거래 해보시면 가상화폐 지갑 생성할때 지갑마다 열쇠가 되는 문자 세트를 부여하죠. 이 문자 세트는 꼭 어딘가에 저장을 해야 나중에 지갑 복구할 수가 있는 것이랑 같은 방식이죠.
OTP 분실시 사용할 수 있는 제2의 암호 같은 것
제가 본건 그건 아니고 그냥 저 QR코드가 가지는 인증키 자체를 백업하라고 알려줍니다. OTP앱 새로 설치하고 인증키로 등록할 수 있구요.
저도 이런 방식이 보안에 더 유리하다고 봅니다. 열쇠는 본인이 가지고 있어야 하고 열쇠가 없다면 할수 없는 상태가 되는게 좋다고 봅니다.
보통 의외의 사고가 나는게 어떤 수단을 뚫은 다음 그것을 이용해서 다른 잠긴걸 또 풀고 하는 것에서 발생하죠.
개인이 어딘가에 메모해 놓은 것을 탈취해서 그 정보로 무엇을 한다는 것은 사실상 불가능에 가까운 것이라 봅니다.
내용 중 일부가 커뮤니티 규칙 40조5호(홍보성 내용)에 해당되어 삭제되었습니다.
커뮤니티 규칙 70-3조에 따르면 자신의 웹사이트에 대한 언급은 홍보에 해당합니다. 홍보성 내용을 넣으려면 "홍보 가능 게시판"에 게시하시기 바랍니다. 이 게시물의 경우 포인트 마켓 또는 서드파티 장터가 적합할 수 있습니다. 무료 자료의 경우에도 서드파티 장터에 게시할 수 있습니다.
그리고 Github 저장소의 URL은 해당되지 않음을 알려드립니다.
?
?
아 오해가 있으시네요. 운영진에게 뭘 바라고 한말이 아니구요.
이게시물에 달린 댓글을 보다가
YJSoft님의 생각을 쓰신
"홍보성 내용 업로드가 가능한 게시판은 따로 표시가 되어 있습니다. 그냥 게시판 잘못 찾으신거죠."
라는 댓글을 읽게 되었습니다.
YJSoft님의 댓글 내용중 그냥 게시판을 잘못 찾은거라는 부분에대한 제생각을 저또한
"단순히 게시판을 잘못 찾은거라면 게시물을 이동했으면 어땠을까 생각해봅니다"
라는 내용의 댓글로 담아 보았습니다.
그러니 YJSoft님 댓글에 대댓으로 쓰는데 당연하다고 생각했습니다.
커뮤니티 규칙을 찾아봐도 제가 못찾는 운영진에게 아닌사람에게 대댓글을 달면 안된다는 규칙을 보이지가 않네요
그냥 글읽고 댓글 단건데 혼란을 드려 죄송합니다.
혹시나 놓치실까 싶어 추가 댓글로 답니다.
라이믹스 전용 함수를 사용하셨으므로 더이상 XE 전용 자료라고 주장할수 없게 되었습니다. 따라서 LGPLv2 라이선스로는 애초에 배포가 불가능합니다. (자세한 내용은 https://github.com/rhymix/rhymix/issues/1371 에 정리되어 있습니다)
즉 혹시 재배포 계획이 있으시다면(사실 이미 제 저장소로 재포크하긴 했습니다만) GPL로 라이선스 변경하셔야 합니다.
https://github.com/Waterticket/rx-module-otp/commit/a00cdb6e5d2c2b624e13256ccbf025ddb1f69c99
사이트의 세션이 만료되어서 발생하는 문제인데, 마침 그 문제도 오늘 패치했습니다 ㅎㅎ
https://github.com/rhymix/rhymix/issues/2076
다만 라이믹스에 위 패치가 적용돼야하는데, 계획상 2.1 이상부터 활용이 가능한 기능이라 실 사용까지는 조금 기다리셔야 합니다
라이믹스 2.1 출시 후에 OTP 모듈도 같이 버전업할 계획이니 조금만 더 기다려주세요!
