备份码
概念
备份码,也称为恢复码,是用于多因素认证 (MFA) 的一次性使用码,当用户的主要认证 (Authentication) 因素(如认证器应用或硬件令牌)不可用时,作为备选方案。
丢失备份码可能导致账户恢复困难。因此,建议在启用备份码之前,先设置一个额外的主要认证 (Authentication) 因素,并优先使用主要因素。
Logto 会在用户配置了额外因素后,自动为其生成 10 个备份码。每个备份码只能使用一次。建议用户在现有备份码用完前,在用户账户设置(可通过 Management API 访问)中重新生成一组新的备份码。
为 MFA 配置备份码
- 进入 控制台 > 多因素认证 (MFA)
- 启用“备份码”因素。备份码不能作为唯一的 MFA 因素,必须与其他主要 MFA 因素(通行密钥、认证器应用、短信、电子邮件)组合使用。
- 配置你偏好的 MFA 策略(必需或可选)
- 保存你的配置更改
配置备份码管理
你可以使用 Account API 构建自定义账户管理界面,让用户可以查看、重新生成和移除他们的备份码。这使用户能够直接在你的应用账户设置中管理他们的恢复选项。
有关详细的实现步骤和 API 端点,请参阅 通过 Account API 进行账户设置。
备份码设置流程
由于备份码是二级 MFA 因素,只有在成功配置了主要 MFA 因素后才能设置。系统会为用户显示一组自动生成的 10 个备份码,用户可以安全地下载和复制。用户必须手动确认备份码,才能完成 MFA 设置流程。
备份码验证流程
当主要 MFA 因素不可用时,备份码可作为紧急认证 (Authentication) 方式。每个备份码只能使用一次,验证成功后即失效。
验证优先级:
- 优先主要因素:当用户配置了其他 MFA 因素时,系统会优先提示主要因素(通行密钥、TOTP、短信、电子邮件)。
- 备份码入口:如果主要因素不可用,用户可以点击“尝试其他验证方式”切换到备份码。
- 兜底场景:如果所有主要因素都被删除,备份码将成为唯一的验证选项。通过备份码成功完成 MFA 验证后,Logto 会自动提示用户设置新的主要因素。
