Auth0 MFA 实施指南：多因素身份验证配置与升级验证教程

auth0-mfa by auth0/agent-skills

208 周安装量

14 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/auth0/agent-skills --skill auth0-mfa

云服务 API 安全

🇨🇳中文介绍

Auth0 MFA 指南

添加多因素身份验证以保护用户账户，并对敏感操作要求额外验证。

概述

什么是 MFA？

多因素身份验证要求用户提供两个或更多验证因素才能访问其账户。Auth0 支持多种 MFA 因素，并支持对敏感操作进行升级身份验证。

何时使用此技能

添加 MFA 以保护用户账户
对敏感操作（支付、设置更改）要求额外验证
实施自适应/基于风险的身份验证
满足合规性要求（PCI-DSS、SOC2、HIPAA）

支持的 MFA 因素

因素	类型	描述
TOTP	你所拥有的东西	基于时间的一次性密码（Google Authenticator、Authy）
SMS	你所拥有的东西	通过短信发送的一次性验证码
电子邮件	你所拥有的东西	通过电子邮件发送的一次性验证码
推送通知	你所拥有的东西	通过 Auth0 Guardian 应用程序发送的推送通知
WebAuthn	你所拥有的东西/你所是的东西	安全密钥、生物识别、通行密钥
语音

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

概念	描述
`acr_values`	在身份验证期间请求 MFA
`amr` 声明	身份验证方法参考 - 指示用户如何进行身份验证
升级身份验证	在初始登录后对特定操作要求 MFA
自适应 MFA	根据风险信号有条件地要求 MFA

步骤 1：在租户中启用 MFA

通过 Auth0 仪表板

转到 安全 → 多因素身份验证
启用所需的因素（TOTP、SMS 等）
配置策略：
- 始终 - 对所有登录要求 MFA
- 自适应 - 基于风险的 MFA
- 从不 - 禁用 MFA（改用升级验证）

# 查看当前的 MFA 配置
auth0 api get "guardian/factors"

# 启用 TOTP（一次性密码）
auth0 api put "guardian/factors/otp" --data '{"enabled": true}'

# 启用 SMS
auth0 api put "guardian/factors/sms" --data '{"enabled": true}'

# 启用推送通知
auth0 api put "guardian/factors/push-notification" --data '{"enabled": true}'

# 启用 WebAuthn（漫游 - 安全密钥）
auth0 api put "guardian/factors/webauthn-roaming" --data '{"enabled": true}'

# 启用 WebAuthn（平台 - 生物识别）
auth0 api put "guardian/factors/webauthn-platform" --data '{"enabled": true}'

# 启用电子邮件
auth0 api put "guardian/factors/email" --data '{"enabled": true}'

# 设置 MFA 策略："all-applications" 或 "confidence-score"
auth0 api patch "guardian/policies" --data '["all-applications"]'

步骤 2：实施升级身份验证

升级身份验证对敏感操作要求 MFA，而无需每次登录都进行。

通过在授权请求中包含 acr_values 来请求 MFA：

acr_values=http://schemas.openid.net/pape/policies/2007/06/multi-factor

所有框架的通用模式：

检查用户是否已完成 MFA（检查 amr 声明）
如果未完成，通过 acr_values 参数请求 MFA
MFA 验证通过后，继续执行敏感操作

有关完整的框架特定示例，请参阅示例指南：

React（基础和自定义钩子）
Next.js（App Router）
Vue.js
Angular

此技能被拆分为多个文件以便更好地组织：

所有框架的完整代码示例：

React（基础和自定义钩子模式）
Next.js（带有 API 路由的 App Router）
Vue.js（组合式 API）
Angular（服务和组件）

学习如何在你的后端验证 MFA 状态：

Node.js / Express JWT 验证
Python / Flask 验证
中间件示例

高级 MFA 实施模式：

使用 Auth0 Actions 的自适应 MFA
基于风险信号的条件性 MFA
MFA 注册 API

常见模式和故障排除：

记住 MFA 30 天
高价值交易的 MFA
MFA 状态显示
错误处理
AMR 声明值
测试策略
安全考虑

auth0-quickstart - 基础 Auth0 设置
auth0-passkeys - WebAuthn/通行密钥实施
auth0-actions - 自定义身份验证逻辑

🇺🇸English

Auth0 MFA Guide

Add Multi-Factor Authentication to protect user accounts and require additional verification for sensitive operations.

Overview

What is MFA?

Multi-Factor Authentication (MFA) requires users to provide two or more verification factors to access their accounts. Auth0 supports multiple MFA factors and enables step-up authentication for sensitive operations.

When to Use This Skill

Adding MFA to protect user accounts
Requiring additional verification for sensitive actions (payments, settings changes)
Implementing adaptive/risk-based authentication
Meeting compliance requirements (PCI-DSS, SOC2, HIPAA)

MFA Factors Supported

Factor	Type	Description
TOTP	Something you have	Time-based one-time passwords (Google Authenticator, Authy)
SMS	Something you have	One-time codes via text message
Email	Something you have	One-time codes via email
Push	Something you have	Push notifications via Auth0 Guardian app
WebAuthn	Something you have/are	Security keys, biometrics, passkeys
Voice	Something you have	One-time codes via phone call
Recovery Code	Backup	One-time use recovery codes

Key Concepts

Concept	Description
`acr_values`	Request MFA during authentication
`amr` claim	Authentication Methods Reference - indicates how user authenticated
Step-up auth	Require MFA for specific actions after initial login
Adaptive MFA	Conditionally require MFA based on risk signals

Step 1: Enable MFA in Tenant

Via Auth0 Dashboard

Go to Security → Multi-factor Auth
Enable desired factors (TOTP, SMS, etc.)
Configure Policies :
- Always - Require MFA for all logins
- Adaptive - Risk-based MFA
- Never - Disable MFA (use step-up instead)

Via Auth0 CLI

# View current MFA configuration
auth0 api get "guardian/factors"

# Enable TOTP (One-time Password)
auth0 api put "guardian/factors/otp" --data '{"enabled": true}'

# Enable SMS
auth0 api put "guardian/factors/sms" --data '{"enabled": true}'

# Enable Push notifications
auth0 api put "guardian/factors/push-notification" --data '{"enabled": true}'

# Enable WebAuthn (Roaming - Security Keys)
auth0 api put "guardian/factors/webauthn-roaming" --data '{"enabled": true}'

# Enable WebAuthn (Platform - Biometrics)
auth0 api put "guardian/factors/webauthn-platform" --data '{"enabled": true}'

# Enable Email
auth0 api put "guardian/factors/email" --data '{"enabled": true}'

Configure MFA Policy

# Set MFA policy: "all-applications" or "confidence-score"
auth0 api patch "guardian/policies" --data '["all-applications"]'

Step 2: Implement Step-Up Authentication

Step-up auth requires MFA for sensitive operations without requiring it for every login.

The `acr_values` Parameter

Request MFA by including acr_values in your authorization request:

acr_values=http://schemas.openid.net/pape/policies/2007/06/multi-factor

Implementation Pattern

The general pattern for all frameworks:

Check if user has already completed MFA (inspect amr claim)
If not, request MFA via acr_values parameter
Proceed with sensitive action once MFA is verified

For complete framework-specific examples, seeExamples Guide:

React (basic and custom hook)
Next.js (App Router)
Vue.js
Angular

Additional Resources

This skill is split into multiple files for better organization:

Step-Up Examples

Complete code examples for all frameworks:

React (basic and custom hook patterns)
Next.js (App Router with API routes)
Vue.js (composition API)
Angular (services and components)

Backend Validation

Learn how to validate MFA status on your backend:

Node.js / Express JWT validation
Python / Flask validation
Middleware examples

Advanced Topics

Advanced MFA implementation patterns:

Adaptive MFA with Auth0 Actions
Conditional MFA based on risk signals
MFA Enrollment API

Reference Guide

Common patterns and troubleshooting:

Remember MFA for 30 days
MFA for high-value transactions
MFA status display
Error handling
AMR claim values
Testing strategies
Security considerations

Related Skills

auth0-quickstart - Basic Auth0 setup
auth0-passkeys - WebAuthn/passkey implementation
auth0-actions - Custom authentication logic

References

Weekly Installs

Repository

auth0/agent-skills

GitHub Stars

First Seen

Feb 6, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Installed on

gemini-cli83

github-copilot83

codex83

opencode82

amp78

kimi-cli78

Azure 升级评估与自动化工具 - 轻松迁移 Functions 计划、托管层级和 SKU

96,200 周安装