Wie kann TOTP MFA in CI/CD sicher automatisiert werden, ohne Anmeldeinformationen preiszugeben? - Programmiererforum

Wie kann TOTP MFA in CI/CD sicher automatisiert werden, ohne Anmeldeinformationen preiszugeben? ⇐ JavaScript

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Anonymous

Wie kann TOTP MFA in CI/CD sicher automatisiert werden, ohne Anmeldeinformationen preiszugeben?

Report
Quote

Post by Anonymous » 12 Jan 2026, 10:36

Ich habe den Anmeldevorgang für meine Anwendung mit Playwright erfolgreich automatisiert. Die App erfordert MFA (TOTP). Ich verwende derzeit die otpauth-Bibliothek, um die 6-stelligen Token zu generieren, und sie funktioniert perfekt in meiner lokalen Umgebung.

Mein aktuelles Setup:

* Logik: Ich habe eine Dienstprogrammfunktion, die otpauth.TOTP verwendet, um Codes aus einem geheimen Schlüssel zu generieren.

* Lokaler Speicher: Meine Anmeldeinformationen (APP_USER, APP_PASS) und M365_OTP_SECRET sind in einer lokalen .env-Datei gespeichert.

* Ausführung: Ich verwende ein global-setup.js, um die Anmeldung einmal zu verwalten und den Speicherstatus zu speichern.

Das Problem:

Ich verschiebe dies jetzt in eine CI/CD-Pipeline (GitHub Actions/Jenkins). Ich möchte sicherstellen, dass:

* Keine Anmeldeinformationen im Repo: Ich möchte meinen .env-Ordner nicht festschreiben oder irgendwelche Geheimnisse im Repository fest codieren.

* Umgebungssynchronisierung: Ich mache mir Sorgen über TOTP-Timing-Probleme oder „verdächtige Anmeldung“-Flags, wenn ich Headless in der Cloud im Vergleich zu meinem lokalen Headed-Browser ausführe.

* Sitzungswiederverwendung: Ich möchte vermeiden, bei jedem Testlauf MFA auszulösen, um dies zu verhindern Ratenbegrenzung.

Fragen an die Community:

* Secret Injection: Was ist die beste Vorgehensweise für die Übergabe des TOTP-Geheimschlüssels an die Playwright-Laufzeit? Ist die Zuordnung als Umgebungsvariablen im CI-Tool (z. B. GitHub Secrets) der sicherste Weg?

* Statusverwaltung: Wo soll in CI die auth.json (storageState) gespeichert werden? Sollte es bei jedem Pipeline-Lauf neu generiert oder als Artefakt zwischengespeichert werden?

* Bypass vs. Automatisieren: Ist es besser, den TOTP-Eintrag wie bisher weiter zu automatisieren, oder sollte ich nach „Nur-Test“-Hintertüren suchen oder MFA für bestimmte CI-IP-Bereiche umgehen?

Umgebung:

* Playwright-Version: [Geben Sie Ihre Version ein, z. B. 1.40]

* CI-Tool: [z. B. GitHub Actions]

* MFA-Bibliothek: otpauth

Pro-Tipp für Ihren Beitrag:

Wenn Sie dies posten, fügen Sie den Codeausschnitt aus Ihrem Screenshot ein (die Funktion „generateTOTP“), aber entfernen Sie die Zeile, in der Sie || haben 'YOUR_SECRET_HERE'. Dies zeigt der Community, dass Sie bereits über Sicherheit nachdenken, indem Sie sich nur auf process.env verlassen.

1768210598

Anonymous

Ich habe den Anmeldevorgang für meine Anwendung mit Playwright erfolgreich automatisiert. Die App erfordert MFA (TOTP). Ich verwende derzeit die otpauth-Bibliothek, um die 6-stelligen Token zu generieren, und sie funktioniert perfekt in meiner lokalen Umgebung.

Mein aktuelles Setup:

* Logik: Ich habe eine Dienstprogrammfunktion, die otpauth.TOTP verwendet, um Codes aus einem geheimen Schlüssel zu generieren.

* Lokaler Speicher: Meine Anmeldeinformationen (APP_USER, APP_PASS) und M365_OTP_SECRET sind in einer lokalen .env-Datei gespeichert.

* Ausführung: Ich verwende ein global-setup.js, um die Anmeldung einmal zu verwalten und den Speicherstatus zu speichern.

Das Problem:

Ich verschiebe dies jetzt in eine CI/CD-Pipeline (GitHub Actions/Jenkins). [url=viewtopic.php?t=30561]Ich möchte[/url] sicherstellen, dass:

* Keine Anmeldeinformationen im Repo: [url=viewtopic.php?t=30561]Ich möchte[/url] meinen .env-Ordner nicht festschreiben oder irgendwelche Geheimnisse im Repository fest codieren.

* Umgebungssynchronisierung: Ich mache mir Sorgen über TOTP-Timing-Probleme oder „verdächtige Anmeldung“-Flags, wenn ich Headless in der Cloud im Vergleich zu meinem lokalen Headed-Browser ausführe.

* Sitzungswiederverwendung: [url=viewtopic.php?t=30561]Ich möchte[/url] vermeiden, bei jedem Testlauf MFA auszulösen, um dies zu verhindern Ratenbegrenzung.

Fragen an die Community:

* Secret Injection: Was ist die beste Vorgehensweise für die Übergabe des TOTP-Geheimschlüssels an die Playwright-Laufzeit? Ist die Zuordnung als Umgebungsvariablen im CI-Tool (z. B. GitHub Secrets) der sicherste Weg?

* Statusverwaltung: Wo soll in CI die auth.json (storageState) gespeichert werden? Sollte es bei jedem Pipeline-Lauf neu generiert oder als Artefakt zwischengespeichert werden?

* Bypass vs. Automatisieren: Ist es besser, den TOTP-Eintrag wie bisher weiter zu automatisieren, oder sollte ich nach „Nur-Test“-Hintertüren suchen oder MFA für bestimmte CI-IP-Bereiche umgehen?

Umgebung:

* Playwright-Version: [Geben Sie Ihre Version ein, z. B. 1.40]

* CI-Tool: [z. B. GitHub Actions]

* MFA-Bibliothek: otpauth

Pro-Tipp für Ihren Beitrag:

Wenn Sie dies posten, fügen Sie den Codeausschnitt aus Ihrem Screenshot ein (die Funktion „generateTOTP“), aber entfernen Sie die Zeile, in der Sie || haben 'YOUR_SECRET_HERE'. Dies zeigt der Community, dass Sie bereits über Sicherheit nachdenken, indem Sie sich nur auf process.env verlassen.

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Quick Reply

Subject:

Username:

Change Text Case:

Smilies

View more smilies

Similar Topics

Replies

Views

Last post

Wie automatisiert ich Interaktionen mit einer TKINGER -App, ohne den Quellcode zu ändern?

Last post by Anonymous « 09 Sep 2025, 12:27
Posted in Python

by Anonymous » 09 Sep 2025, 12:27 » in Python

Ich habe eine Python -Anwendung mit Tkinter für seine GUI. Ich habe versucht, Windows -Tools wie WinSpy ++ zu verwenden. exe, um das Fenster zu analysieren, aber es zeigt nur Tkchild für jedes Widget.

0 Replies

15 Views

Last post by Anonymous
09 Sep 2025, 12:27
Wie löste ich: Der Fehler "App \ Core \ Validator \ ValidatorService" kann in Symfony 7 nicht automatisiert werden.

Last post by Guest « 10 Feb 2025, 10:02
Posted in Php

by Guest » 10 Feb 2025, 10:02 » in Php

kann den Service App \ Core \ Validator \ ValidatorService : Argument $ validators der Methode __construct () Referenzen Schnittstelle App \ Core \ Validator \ ValidatorInterface nicht...

0 Replies

38 Views

Last post by Guest
10 Feb 2025, 10:02
Wie kann ich dafür sorgen, dass mein TOTP-Generator mit anderen Hashing-Algorithmen (außer sha1) funktioniert? [geschlos

Last post by Anonymous « 12 Dec 2025, 13:57
Posted in Python

by Anonymous » 12 Dec 2025, 13:57 » in Python

Ich habe Probleme damit, dass mein Python-Code die richtigen TOTPs generiert, wenn ich den geheimen Testschlüssel „12345678901234567890“ verwende, den gleichen, der in den RFC6238-Anhang-B-Beispielen...

0 Replies

15 Views

Last post by Anonymous
12 Dec 2025, 13:57
Warum lehnt Google Authenticator diesen TOTP -QR -Code ab?

Last post by Anonymous « 27 Mar 2025, 12:52
Posted in Java

by Anonymous » 27 Mar 2025, 12:52 » in Java

Meine App verwendet die Zwei-Faktor-Authentifizierung. Der zweite Faktor ist ein zeitbasiertes Einmalkennwort (TOTP), das von einer Authenticator-App (Mobile) wie Google Authenticator generiert wird....

0 Replies

21 Views

Last post by Anonymous
27 Mar 2025, 12:52
Spring Repository instanziiert/automatisiert nicht in der Konfigurationsklasse

Last post by Guest « 20 Jan 2025, 13:07
Posted in Java

by Guest » 20 Jan 2025, 13:07 » in Java

Ich habe eine Projekt-App erstellt und wollte JWT-Sicherheit einbeziehen. Ich habe ein Tutorial befolgt und habe ein Problem mit diesem Code-Snippet.
@Configuration
@RequiredArgsConstructor
public...

0 Replies

40 Views

Last post by Guest
20 Jan 2025, 13:07

Return to “JavaScript”