为第二个身份验证因素创建过滤器

Question

我有一个基于两因素的身份验证服务器，我需要将其集成到现有的 Web 应用程序

现有应用程序描述：-

servlet 应用程序

java JSP，在 tomcat 服务器 6.0 源代码上运行的

不可用

我的双因素解决方案提供以下集成：-

1. 接收用户名和 OTP 返回“true”或“false”的 Web 服务
2. 拥有一个 OTP 页面，可以从任何发送用户名、targetPage 作为参数（信用卡交易类型）的网站调用该页面

问题声明

我需要将我的双因素（OTP 验证）集成到现有应用程序中，以便每次登录时都会询问 OTP，并且用户无法在没有 OTP 的情况下进入应用程序。 我听说过在 Web 服务器（退出应用程序）上创建过滤器，但是它将允许入侵者使用他的 OTP 和受害者的密码

• 我无法更改现有应用程序
• 我可以完全控制我的双因素应用程序。 （我可以修改和创建更多API）

Answer 1

您可以创建一个 Tomcat 阀门来拦截所有 OTP 请求和提示。这样，如果用户没有输入有效的 OTP，请求甚至不会发送到 Web 应用程序