文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

使用 Golang 实现基于时间的一次性密码 TOTP

2024-11-30 00:12

关注

什么是一次性密码 OTP ?

一次性密码(One Time Password),简称 OTP,是只能使用一次的密码。每次做身份认证时都会生成一个新的密码,在使用一次之后立即失效,不能重复使用。这种密码只能使用一次,因此即使攻击者能够窃取到密码,也无法再次使用该密码进行身份认证。

一次性密码的优点

接下来看一下一次性密码实现的几种方式。

基于时间的一次性密码(Time-based One-Time Password,TOTP)

密码的有效性依赖当前的时间,每个密码都有一个固定的有效期,例如30秒或60秒。在这个时间窗口结束后,密码会自动失效,系统会生成一个新的密码。

这种方法的优点是不依赖于网络连接,因此即使在没有网络连接的情况下,用户也可以生成密码。这种方法的缺点是对时间的同步要求较高,需要客户端和服务器之间的时间保持精确同步,并且用户必须在指定的时间窗口内输入密码,否则密码就会失效。

基于哈希的一次性密码(Hash-based One-Time Password,HOTP)

密码的生成依赖一个密钥和一个计数器。每当用户请求一个新的密码时,计数器就会增加,然后使用哈希函数和密钥生成一个新的密码。这种方法的优点是不依赖时间,因此用户可以在任何时间输入密码。相应的缺点是如果计数器的值在服务器和用户设备之间不同步,就可能导致问题。

基于短信的一次性密码(SMS-based One-Time Password,SOTP)

密码需要通过短信发送给用户,当用户需要进行身份认证时,系统会发送一个密码到用户的手机。这种方法的优点是很方便直观,相应的缺点是依赖手机网络,如果用户没有手机信号或者手机被盗,就无法接收密码。此外,这种方法也容易受到短信劫持的攻击。

基于电子邮件的一次性密码(Email-based One-Time Password,EOTP)

密码通过电子邮件发送给用户。与基于短信的一次性密码类似,这种方法的优点是很容易理解和使用。相应的缺点是依赖电子邮件,如果用户无法访问自己的电子邮件,就无法接收密码。此外,这种方法也容易受到电子邮件劫持的攻击。

理论上来说,一次性密码是最安全的。但目前还没有理想的一次性密码的实现方式,大多数情况下,一次性密码的使用场景还是用于辅助身份认证。

因为 TOTP 是标准化的协议并且被广泛采用,所以有很多对应的移动应用或者 web 应用实现,被称为身份验证器应用,例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多优秀的三方库可以帮助我们快速实现 TOTP 的服务端实现,其中比较有代表性的是 pquerna/otp 库,接下来就使用这个库来演示一下 TOTP 的服务端实现流程。

为用户生成 TOTP Key

用户开启双因子认证时,为用户生成 TOTP Key,用于生成 TOTP 密码。将这个密码保存在数据库或者秘钥管理系统中,生成 key 的关键代码如下:

key, err := totp.Generate(totp.GenerateOpts{
		Issuer:      "Github",
		AccountName: "user@example.com",
		Period:      30,
		Digits:      otp.DigitsSix,
    Algorithm: otp.AlgorithmSHA1,
	})

这几个参数的意思如下:

把密钥和密码生成规则分享给用户

通常是将秘钥和密码规则信息以二维码的形式展示给用户,用户使用身份验证器应用扫描二维码保存相关信息并且生成密码。二维码中的内容格式一般如下:

otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM

为用户提供“恢复码” Recovery Codes

生成“恢复码” Recovery Codes (使用随机生成的字符串即可)存储到数据库或者秘钥管理系统中。当用户不能访问自己的 TOTP 设备(例如将 TOTP 应用中的 TOTP 秘钥删除了、将 TOTP 应用卸载了、手机丢失了等)时,就无法登录自己的帐户了。因为这种情况比较常见,所以很多网站都会给用户提供“备份代码”或“恢复代码”,并且每个只能使用一次,可以临时用来代替 TOTP 密码。

校验用户输入的 TOTP 密码

用户再次登录后,触发双因子认证,要求用户输入 TOTP 密码,服务端检验这个密码。校验的关键代码如下:

// 验证一次性密码
isValid := totp.Validate(passcode, key.Secret())

模拟生成密钥、校验密码的代码

package main

import (
	"fmt"
	"time"

	"github.com/pquerna/otp"
	"github.com/pquerna/otp/totp"
)

func main() {
	// 生成密钥
	key, err := totp.Generate(totp.GenerateOpts{
		Issuer:      "Github",
		AccountName: "user@example.com",
		Period:      30,
		Digits:      otp.DigitsSix,
		Algorithm:   otp.AlgorithmSHA1,
	})
	if err != nil {
		panic(err)
	}

	fmt.Println("Secret URL: ", key.URL())

	// 模拟生成一个一次性密码
	now := time.Now()
	passcode, err := totp.GenerateCode(key.Secret(), now)
	if err != nil {
		panic(err)
	}

	// 验证一次性密码
	valid := totp.Validate(passcode, key.Secret())
	if valid {
		fmt.Println("Valid passcode!")
	} else {
		fmt.Println("Invalid passcode!")
	}
}
来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯