扩展:两步验证

This page is a translated version of the page Extension:OATHAuth and the translation is 88% complete.

Other languages:

English • ‎Türkçe • ‎dansk • ‎polski • ‎中文 • ‎日本語

Not to be confused with Extension:OAuth.

此扩展已绑定在MediaWiki 1.31及以上版本因此您不需要再次下载。然而，您仍需要跟随提供的其他指示。

**MediaWiki擴充功能手冊**
OATHAuth 发布状态：稳定版

实现	用户权限 , 特殊页面 , 页面操作
描述	为登录提供双因素身份验证
作者	Ryan Lane
最新版本	持续更新
兼容性方针	主版本（master）
MediaWiki	1.29+
数据庫更改	是
表	oathauth_users
许可协议	GPL-2.0-or-later AND GPL-3.0-or-later
下载	下载扩展 Git ^[?]: 下载Git主线浏览存储库 (GitHub) 提交历史 repository contributors (GitHub) 代码复核
参数 $wgOATHExclusiveRights $wgOATHAuthWindowRadius $wgOATHAuthSecret $wgOATHAuthAccountPrefix $wgOATHAuthDatabase
添加的权限 oathauth-enable oathauth-api-all oathauth-disable-for-user oathauth-verify-user oathauth-view-log
使用的钩子 AuthChangeFormFields GetPreferences LoadExtensionSchemaUpdates TwoFactorIsEnabled getUserPermissionsErrors
翻譯OATHAuth擴充功能如在translatewiki.net可用
检查使用和版本矩阵。
问题	尚未完成的工作 · 回報錯誤

OATHAuth是基于时间的一次性密码（TOTP）实现的。它通过你拥有的东西（你的手机或桌面客户端）和你知道的东西（你的用户名/密码）提供双因素验证。大多数功能手机，智能手机和台式机都支持客户端支持（参见客户端实现）。

此扩展名与OAuth无关，后者是完全不同的协议。

用法

双因素身份验证上的帮助页面为最终用户提供了有关如何使用此扩展的信息。但是，使用的特殊页面也将引导用户。

安装

下载文件，并将其放置在您extensions/文件夹中的OATHAuth目录内。
只有從git安裝才运行Composer来安装PHP依赖，通过发行composer install --no-dev至扩展目录。（参见任务T173141了解潜在问题。）
将下列代码放置在您的LocalSettings.php的底部：
```
wfLoadExtension( 'OATHAuth' );
```
运行更新脚本，它将自动创建此扩展必须依赖的数据库表。
根据需要配置。
完成 – 在您的wiki上导航至Special:Version，以验证扩展已成功安装。

配置

参数

配置标志	默认值	描述
`$wgOATHAuthWindowRadius`	`4`	每个方向上应该有效的令牌窗口数。这告诉OATH接受令牌的有效范围为`((1 + 2 * $wgOATHAuthWindowRadius) * 30)`秒。此有效窗口范围以当前时间为中心。此配置变量的目的是考虑用户时钟和服务器时钟之间的差异。但是，建议尽可能降低它。
`$wgOATHAuthDatabase`	`false`	数据库域。仅用于多数据库环境。
`$wgOATHAuthSecret`	`false`	此Wiki的基本OATHAuth密钥，从中派生所有加密密钥。如果为`false`，则使用`$wgSecretKey`的值。
`$wgOATHAuthAccountPrefix`	`false`	用于OATHAuth用户帐户名称的前缀和用于该帐户的颁发者。如果为`false`，则使用`$wgSitename`的值。
`$wgOATHExclusiveRights`	`[]`	Set of permissions that are revoked from users who did not log in using two-factor authentication.

OATHAuth also adds a key to the $wgRateLimits array to define rate limits for authentication attempts:

		'badoath' => [
			'&can-bypass' => false,
			'user' => [ 10, 60 ],
			'user-global' => [ 10, 60 ],
		]

Note that the user-global key is available only since 1.35. Earlier version have to rely on user and perhaps ip-all. See the documentation of $wgRateLimits for details.

用户权限

授予访问权限以启用OATHAuth

应该允许用户访问oathauth-enable用户权限，以便他们可以以Special:OATHAuth启用它（链接显示为Special:Preferences）。

$wgGroupPermissions['user']['oathauth-enable'] = true;

以上将授予所有注册用户启用OATHAuth的权限。

管理

重置用户令牌

如果用户丢失了令牌生成器和恢复令牌，可以通过从oathauth_users数据库表中删除它们的行来从用户中删除双因素身份验证。具有shell访问权限的系统管理员可以在命令行cd /path/to/mediawiki/extensions/OATHAuth/maintenance/上键入然后执行php disableOATHAuthForUser.php "username"，其中"username"是禁用2FA以禁用它的用户。

参见

此扩展被用于一个或多个维基媒体项目上。这可能意味着扩展稳定且工作良好，足以用在同等高流量的网站上。请在维基媒体的CommonSettings.php和InitialiseSettings.php配置文件中寻找此扩展名称以查看安装它的网站。详细的已安装扩展的完整列表可在wiki的Special:Version页面找到。