集成Google Authenticator实现多因素认证(MFA)

最新推荐文章于 2024-07-06 15:04:08 发布
最新推荐文章于 2024-07-06 15:04:08 发布
阅读量1.1k 收藏 25
点赞数 25
分类专栏: java 开发组件 文章标签: 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blueeyedboy521/article/details/139324430
版权

目录

参考

设计一个安全性架构时
手把手教你集成Google Authenticator实现多因素认证(MFA)
身份认证之多因素认证方法
谷歌身份验证器的正确使用方法
JupmServer堡垒机之MFA知识点说明

1、应用背景

多因素认证(Multi Factor Authentication,简称 MFA)的使用背景主要出于对账户和系统安全性的增强需求。传统的用户名和密码认证方式在面对日益复杂的网络威胁时显得不够安全,因为密码可能被泄露、猜测或被暴力破解。随着攻击者拥有越来越先进的工具,对更安全的认证协议的需求正在加大。多因素认证通过引入额外的认证因素,提供了更强大的安全层级。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。

2、多因素认证

多因素认证是一种简单有效的安全实践方法,旨在提供两层或更多的身份验证保护。最常见的三种验证因素包括知识(实体所知)、持有物(实体所有)和固有属性(实体特征)。知识因素指的是用户知道的信息,如安全密保问题或个人识别号码如pin码;持有物因素是用户拥有的物品,例如SMS密码或硬件令牌;固有属性则与用户的身体特征有关,如指纹或面部识别等。这种方法提高了安全性,因为即使某个因素被泄露或破解,攻击者仍需要其他因素才能访问用户账户或系统。尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。
三种验证因素可以总结如下:
基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。

基于实体所有的方法是安全性较高、成本较高的一类,主要应用在IC卡、门禁卡和数字签名等。但缺点是基于实体所有的方法因为存在固体实物,因此会面临着损坏和被复制的风险。

基于实体特征的方法是安全性最高的一种方式,通常采用生物识别方法进行验证。主要应用在指纹、虹膜、声波特征等验证方式。实体特性鉴别的准确性和效率主要取决于开发过程中的算法特征。

3、谷歌google authenticator集成用法

3.1、原理

基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。OTP是指一次性密码,每个OTP只能使用一次,有效期通常为30秒。

3.2、 MFA绑定

3.2.1、 用户输入用户名密码登录

在这里插入图片描述

3.2.2、检查是否已经绑定MFA(检查数据库是否保存该用户的google secret)

用户名密码登录成功后,检查是否已经绑定MFA(检查数据库是否保存该用户的google secret)
如果未绑定,则需要绑定MFA进行二次认证。
1、调用生产string secretKey = GoogleAuthenticatorUtils.createSecretKey(); 并入库;
2、利用谷歌库生成绑定二维码String keyUri = GoogleAuthenticatorUtils.createKeyUri(secretKey, username, “Demo_System”); // Demo_System 服务标识不参与运算,可任意设置
在这里插入图片描述

3.2.3、谷歌身份证认证器扫描绑定

前端弹出二维码,用户拿移动端打开谷歌身份证认证器app点击扫描绑定
在这里插入图片描述

3.2.4、手动测试验证码

在这里插入图片描述

3.3、基于OTP技术的MFA认证原理如下:

  • 用户在登录时,首先输入用户名和密码。
  • 服务器验证用户名和密码是否正确。
  • 如果用户名和密码正确,前端提示输入MFA验证码。
  • 用户在绑定认证过的设备上打开谷歌身份认证器查看当前时间点生成的OTP。
  • 用户输入OTP,点击确定
  • 服务器验证OTP是否正确。boolean verification = GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());
  • 如果OTP正确,服务器允许用户登录。

3.4、关键代码

3.4.1、调用LoginService的login方法进行登录(需传入手机上显示的6位动态验证码,否则校验不被通过)

以下分享一次Spring Boot集成Goole Authenticator的案例关键性代码

@Service
public class LoginServiceImpl implements LoginService {

    private final UserService userService;

    public LoginServiceImpl(UserService userService) {
        this.userService = userService;
    }

    /**
     * 登录接口
     * @param loginParam {"username":"用户名", "password":"密码", "mfaCode":"手机应用Google Authenticator生成的验证码"}
     * @param servletRequest
     * @return
     */
    @Override
    public UserVo login(LoginParam loginParam, HttpServletRequest servletRequest) {
        // 校验用户名和密码是否匹配
        User user = getUserWithValidatePass(loginParam.getUsername(), loginParam.getPassword());
        // 验证数据库保存的密钥和输入的验证码是否匹配
        boolean verification = GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());
        if (!verification) {
            throw new BadRequestException("验证码校验失败");
        }
        // 用户信息保存到session中
        servletRequest.getSession().setAttribute("user", user);
        UserVo userVo = new UserVo();
        BeanUtils.copyProperties(user, userVo);
        return userVo;
    }

    /**
     * 生成二维码的Base64编码
     * 可以使用手机应用Google Authenticator来扫描二维码进行绑定
     * @param username
     * @param password
     * @return
     */
    @Override
    public String generateGoogleAuthQRCode(String username, String password) {
        // 校验用户名和密码是否匹配
        User user = getUserWithValidatePass(username, password);
        String secretKey;
        if (StringUtils.isEmpty(user.getGoogleAuthenticatorSecret())) {
            secretKey = GoogleAuthenticatorUtils.createSecretKey();
        }else {
            secretKey = user.getGoogleAuthenticatorSecret();
        }
        // 生成二维码
        String qrStr;
        try(ByteArrayOutputStream bos = new ByteArrayOutputStream()){
            String keyUri = GoogleAuthenticatorUtils.createKeyUri(secretKey, username, "Demo_System");  // Demo_System 服务标识不参与运算,可任意设置
            QRCodeUtils.writeToStream(keyUri, bos);
            qrStr = Base64.encodeBase64String(bos.toByteArray());
        }catch (WriterException | IOException e) {
            throw new ServiceException("生成二维码失败", e);
        }
        if (StringUtils.isEmpty(qrStr)) {
            throw new ServiceException("生成二维码失败");
        }
        user.setGoogleAuthenticatorSecret(secretKey);
        userService.updateById(user);
        return "data:image/png;base64," + qrStr;
    }


    private User getUserWithValidatePass(String username, String password) {
        String mismatchTip = "用户名或者密码不正确";
        // 根据用户名查询用户信息
        User user = userService.getByUsername(username)
                .orElseThrow(() -> new BadRequestException(mismatchTip));
        // 比对密码是否正确
        String encryptPassword = SecureUtil.md5(password);
        if (!encryptPassword.equals(user.getPassword())) {
            throw new BadRequestException(mismatchTip);
        }
        return user;
    }
}

3.4.2、GoogleAuthenticatorUtils提供了生成密钥、校验验证码是否和密钥匹配等功能

public class GoogleAuthenticatorUtils {

    /**
     * 时间前后偏移量
     * 用于防止客户端时间不精确导致生成的TOTP与服务器端的TOTP一直不一致
     * 如果为0,当前时间为 10:10:15
     * 则表明在 10:10:00-10:10:30 之间生成的TOTP 能校验通过
     * 如果为1,则表明在
     * 10:09:30-10:10:00
     * 10:10:00-10:10:30
     * 10:10:30-10:11:00 之间生成的TOTP 能校验通过
     * 以此类推
     */
    private static final int TIME_OFFSET = 0;

    /**
     * 创建密钥
     */
    public static String createSecretKey() {
        SecureRandom random = new SecureRandom();
        byte[] bytes = new byte[20];
        random.nextBytes(bytes);
        return Base32.encode(bytes).toLowerCase();
    }

    /**
     * 根据密钥获取验证码
     * 返回字符串是因为数值有可能以0开头
     * @param secretKey 密钥
     * @param time 第几个30秒 System.currentTimeMillis() / 1000 / 30
     */
    public static String generateTOTP(String secretKey, long time) {
        byte[] bytes =  Base32.decode(secretKey.toUpperCase());
        String hexKey =HexUtil.encodeHexStr(bytes);
        String hexTime = Long.toHexString(time);
        return TOTP.generateTOTP(hexKey, hexTime, "6");
    }

    /**
     * 生成 Google Authenticator Key Uri
     * Google Authenticator 规定的 Key Uri 格式: otpauth://totp/{issuer}:{account}?secret={secret}&issuer={issuer}
     * https://github.com/google/google-authenticator/wiki/Key-Uri-Format
     * 参数需要进行 url 编码 +号需要替换成%20
     * @param secret 密钥 使用 createSecretKey 方法生成
     * @param account 用户账户 如: example@domain.com
     * @param issuer 服务名称 如: Google,GitHub
     * @throws UnsupportedEncodingException
     */
    @SneakyThrows
    public static String createKeyUri(String secret, String account, String issuer) throws UnsupportedEncodingException {
        String qrCodeStr = "otpauth://totp/${issuer}:${account}?secret=${secret}&issuer=${issuer}";
        ImmutableMap.Builder<String, String> mapBuilder = ImmutableMap.builder();
        mapBuilder.put("account", URLEncoder.encode(account, "UTF-8").replace("+", "%20"));
        mapBuilder.put("secret", URLEncoder.encode(secret, "UTF-8").replace("+", "%20"));
        mapBuilder.put("issuer", URLEncoder.encode(issuer, "UTF-8").replace("+", "%20"));
        return StringSubstitutor.replace(qrCodeStr, mapBuilder.build());
    }

    /**
     * 校验方法
     *
     * @param secretKey 密钥
     * @param totpCode TOTP 一次性密码
     * @return 验证结果
     */
    public static boolean verification(String secretKey, String totpCode) {
        long time = System.currentTimeMillis() / 1000 / 30;
        // 优先计算当前时间,然后再计算偏移量,因为大部分情况下客户端与服务的时间一致
        if (totpCode.equals(generateTOTP(secretKey, time))) {
            return true;
        }
        for (int i = -TIME_OFFSET; i <= TIME_OFFSET; i++) {
            // i == 0 的情况已经算过
            if (i != 0) {
                if (totpCode.equals(generateTOTP(secretKey, time + i))) {
                    return true;
                }
            }
        }
        return false;
    }

}

4、JumpServer 常用的 MFA 工具

安卓版:

  • google authenticator
  • microsoft authenticator
  • 阿里云 App 虚拟 MFA
  • CKEY 令牌

IOS版:

  • google authenticator
  • microsoft authenticator
  • 阿里云 app 虚拟 MFA

微信小程序:

  • MinaOTP
  • MFA Authentication
  • CKEY 令牌

商业产品:

  • 宁盾
Blueeyedboy521
关注
  • 25
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
google浏览器插件之身份验证器Authenticator MFA
yanlinpu的博客
12-20 5432
谷歌身份验证器 之 Google浏览器扩展authenticator实现
技术分享| 利用Google MFA实现Amazon linux 2023身份校验
eCloudrover_2014的博客
01-18 467
伊克罗德信息为一家 Born-In-Cloud 云原生的咨询服务公司,为企业提供云端架构咨询、项目迁移、混合云环境托管、培训与多样化的上云解决方案,服务全球企业超过数千家,客户横跨互联网、媒体、游戏、电商零售、制造、汽车、金融科技、社交应用等行业。当前对于EC2的防护除了合理的管控密钥文件以及密码,那对于十分重要的EC2环境,是否可以再进行二次验证登录?本次将通过Google MFA实现登录EC2的二次验证。🔘 由于目前没有公开的google MFA的RPM包,需要自行通过github来编译下,先安装。
因素身份认证 (MFA) 插件:手机验证码认证因素配置流程
vagerdwely的博客
09-14 1361
开源IDaaS方舟一账通ArkID系统内置手机验证码认证插件简单配置、马上可用,降低实施成本,提升应用集成效率。允许用户通过手机号码与验证码的方式进行认证,注册,重置密码以及更换手机号。
.NETCORE 开发登录接口MFA谷歌多因子身份验证
qq_36694046的博客
01-30 628
mfa 谷歌身份验证器
Google-Authenticator双因子认证
小高同学
06-30 2879
Google-authenticator是基于时间的一次性密码算法(TOTP)是一种根据预共享的密钥与当前时间计算一次性密码的算法。它已被互联网工程任务组接纳为RFC 6238标准[1],成为主动开放认证(OATH)的基石,并被用于众多多重要素验证系统当中。 TOTP是散列消息认证码(HMAC)当中的一个例子。它结合一个私钥与当前时间戳,使用一个密码散列函数来生成一次性密码。由于网络延迟与时钟不同步可能导致密码接收者不得不尝试多次遇到正确的时间来进行身份验证,时间戳通常以30秒为间隔,从而避免反复尝试。 在
SSH加固配置谷歌双因子认证+更换手机方式
ly5826的博客
08-02 1626
SSH加固配置谷歌双因子认证+更换手机方式 注:为某一用户配置双因子认证,需切换到该用户下进行操作 1.更换yum源为阿里源 下载wget,用以更换yum源使用: sudo yum -y install wget 创建备份源文件夹 sudo mkdir /etc/yum.repos.d/bak 备份原有yum源 sudo mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/bak 私有云arm架构服务器: 配置centos源: sudo wget http:/
google-authenticator:Ruby gem,用于实现GoogleMFA身份验证器
02-19
Rails(ActiveRecord)与适用于和的Google Authenticator应用程序集成。 使用Authlogic样式进行cookie管理。 安装 将此行添加到您的应用程序的Gemfile中: gem 'google-authenticator-rails' 然后执行: $ bundle...
MFA
03-05
集成Google Authenticator,首先需要生成一个密钥种子,然后将此种子分享给用户,以便他们在自己的Google Authenticator应用程序中设置。PHP库如`php-google-authenticator`可以帮助我们生成这些密钥。 4. **...
django-mfa:Django-mfa(多因素身份验证)是一个简单的程序包,可为django Web应用程序增加额外的安全层。 它为Web应用程序提供了一个随机更改的密码,以提供额外保护,并且还支持u2f
02-04
Django-mfa是Django开发者实现因素身份验证的强大工具,通过动态密码和U2F支持,为Web应用提供了更高级别的安全防护。理解并正确实施MFA,可以帮助保护用户数据免受日益增长的网络威胁,同时,开发者也需要关注...
ZavrsniRad:多因素身份验证
02-17
4. 多因素认证:理解Totp(时间同步一次性密码)、Oath协议、Google Authenticator或其他MFA服务的实现。 5. 安全最佳实践:如何防止SQL注入、XSS攻击等常见Web漏洞。 6. MVC(Model-View-Controller)架构模式,...
一次性:用于Clojure的一次性密码(TOTP和HOTP)库。 TOTPHOTP被广泛用于两因素因素身份验证
01-31
其他标签如`google-authenticator`、`authy`、`multi-factor-authentication`等,都是与两因素认证相关的服务或技术,它们可以作为理解此库应用场景的参考。 至于压缩包中的`one-time-master`,可能是库的源代码...
windows网络进阶之listen参数含义
m0_62681656的博客
07-02 798
在Windows网络编程中,在使用TCP时,listen函数它是一个重要的关键的步骤,使得套接字能够接收传入的连接请求,下面我主要通过实战案例讲解listen参数的含义。注:本章是一个进阶篇,前提是能够掌握基础windows网络编程概念。二、listen参数1.SOCKET s这是一个已绑定(通过bind函数)的套接字,作用用于接收客户端的连接请求。这个参数比较好理解,我们重点讲解第二个参数。挂起的连接队列的最大长度。
2023-2024华为ICT大赛中国区 实践赛网络赛道 全国总决赛 理论部分真题
gaogao0305的博客
07-02 565
本文为2023-2024华为ICT大赛 中国区 全国总决赛 实践赛 网络赛道 理论部分考试真题,涵盖数通模块10题、安全模块7题、WLAN模块3题
软考数据库——第五章网络基础知识(知识点介绍和历年真题)
最新发布
分享关于数据的知识。
07-06 172
第五章网络基础知识
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 906
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
AVIO自定义读写
qq_54017644的博客
07-05 180
AVIO编程实战---极精简代码
back-end developer 后端开发的一些常识
wuxiaoyu0806的博客
07-03 646
当订单量增加时,你可以增加更多送货员(扩展容器),当某个送货员生病时,你可以立即派其他人顶替(自动恢复)。你有一本笔记本(Redis),记录了每种食物的库存情况(数据存储)。: 假设你在网上购物。浏览器会将你的订单信息(如商品名称、价格、数量)转换成JSON格式(打包成一个轻便的小包裹),然后发送给服务器。服务员(生产者)将订单(消息)放在一个传送带上(消息队列),你(消费者)从传送带上取下订单并制作食物。无论你搬到哪儿(不同的计算环境),只要打开箱子,里面的物品都能立刻使用,不需要重新整理(配置环境)。
ED01-CMS v20180505 文件上传漏洞(CVE-2022-28525)
Flag少侠的博客
07-02 5223
CVE-2022-28525 是一个影响 ED01-CMS v20180505 版本的任意文件上传漏洞。该漏洞位于,攻击者可以利用该漏洞在未经授权的情况下上传任意文件到服务器上,从而可能导致远程代码执行(RCE)​ ()​​ ()​。漏洞的主要问题是上传功能对上传文件的类型检查不足,允许上传包含恶意代码的文件。在实际利用过程中,攻击者可以上传一个包含 PHP 代码的文件,例如shell.php,然后通过访问该文件来执行任意代码​ ()​​ ()​。
Google Authenticator 输入您的 Google Authenticator 密码
08-15
对于Google Authenticator(谷歌验证)的密码输入,实际上并没有一个固定的密码。Google Authenticator通过基于时间的一次性密码(TOTP)生成密码来进行账户验证。这种密码是根据事先与服务器约定好的密钥和当前的时间戳来生成的。当用户登录时,他们需要在Google Authenticator应用程序中输入由此算法生成的一次性密码,并将其发送到服务器进行验证。如果生成的一次性密码与服务器计算的密码一致,登录将成功。这种基于时间的算法确保了每个一次性密码只有在短时间内有效,提高了账户的安全性。所以实际上,你需要根据服务器提供的密钥和当前的时间戳,在Google Authenticator应用程序中生成对应的一次性密码,并输入该密码进行验证。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [谷歌验证器 Google Authenticator工作原理](https://blog.csdn.net/weixin_39732991/article/details/110784762)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [谷歌Google authenticator 整合到JAVA项目](https://blog.csdn.net/baidu_38990811/article/details/106002098)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值