微信小程序使用otp算法踩坑总结

最新推荐文章于 2025-02-13 09:27:20 发布
最新推荐文章于 2025-02-13 09:27:20 发布
阅读量2.7k 收藏 6
点赞数
分类专栏: 前端 文章标签: 小程序 otp算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hampton_Chen/article/details/95247676
版权

背景

前两天项目有个类似动态口令的功能要实现,团队最终决定使用OTP算法来实现:前端先向后端请求获取用户的密钥(secret),将之保存在缓存中,之后前端根据该secret,使用OTP算法中的TOTP方式生成6位动态密码,将6位动态密码传到后台验证。

OTP

1.1 简介

OTP(One-Time-Password):一次性密码,也称为动态口令。是使用密码技术实现的在客户端和服务端之间通过共享密钥的一种认证技术,是一种强认证技术,是增强目前静态密码口令认证的一种非常方便的技术手段,是一种重要的双因素认证技术。

1.2 OTP认证原理

动态口令的基本认证原理是在认证双方共享密钥,也称种子密钥,并使用同一个种子密钥对某一个事件计数、或时间值、或异步挑战数进行密码算法计算,使用的算法有对称算法、HASH、HMAC,之后比较计算值是否一致进行认证。可以做到一次一个动态口令,使用后作废,口令长度通常为6-8个数字,使用方便,与通常的静态口令认证方式类似。

1.3 OTP实现方式

  • 时间同步(TOTP)
  • 事件同步(HOTP)
  • 挑战/应答(OCRA)

本文内容主要是小程序使用OTP算法踩坑总结,不对OTP算法的三种实现方式的工作原理进行详细介绍,有兴趣的朋友自行查找相关资料。

踩坑记录

2.1 后端使用的otp库说明

opt算法有许多现成的库可以直接调用&#x

最低0.47元/天 解锁文章
基于STM32设计的智慧农业管理系统(ESP8266+腾讯云微信小程序)
10-19 6908
当前设计的智慧农业管理系统采用STM32F103RCT6作为核心处理器,实现了空气温湿度、光照度的实时采集和控制电机抽水灌溉的功能。通过物联网技术,将采集数据上传至腾讯云物联网平台,并推送到微信小程序上实时查看,方便用户随时了解农业生产情况。
基于ESP32的智能家居控制系统-微信小程序
漠宸离若的博客
04-28 1万+
一、 课题研究意义、现状及应用分析 1.1课题研究意义及现状 目前,科学技术发展十分迅速,其渗透到各行各业以及生活的方方面面,室内设计和高科技结合便出现了“智能家居”。所谓智能家居就是以居住场所为平台,利用物联网、传感器、智能控制技术将各种家用电器联系起来,实现居住环境的智能化、自动化、人性化。通过语音控制、远程控制、预约控制、个性化设计、一键控制等功能进一步提高生活的舒适性、便利性、安全性。 1.2应用分析 具体而言,利用多种传感器监测室内温度、湿度、光线强度、烟雾浓度、室内是否有人等信息自动调整空调、加
TOTP 基于One-Time Password,实现微信或支付宝类型的付款码
weixin_30794851的博客
01-12 409
demo 转载于:https://www.cnblogs.com/you000/p/8276225.html
微信小程序-请求封装
人间清醒
08-24 286
//import request from '../../utils/network.js' export const host = ''; // 域名 let lock =true export default function request(opt){ return new Promise((resolve,reject)=>{ if (opt.isLock) { ...
前端实现TOTP加密
weixin_44866262的博客
01-26 553
前端实现时间戳和密钥生成6位TOTP密码,30s失效
OTP动态口令身份认证的多种形式
yuzijiang11111的博客
06-02 1164
采用OTP 动态口令后,用户就无需再定期修改密码,企业管理密码的成本也相应降低,安全省心,且成本也不高。OTP(One-time Password)一次性密码,也称为动态口令、动态密码,是根据专门的算法每隔30秒或60秒生成的随机数字组合,每个动态口令只能使用一次。配置了OTP动态口令认证系统后,在登录以上应用的时候用户就需要在输入完账号和密码后,再次输入动态密码才能校验成功,放行。除以上令牌形式外,还有其他多种形式,比如生物识别、推送认证等等,但本文只围绕OTP来说,若对其他形式感兴趣可自行搜索。
在线OTP动态口令工具
最新发布
yunmoon的博客
02-13 359
在线OTP动态口令生成器,安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8位动态口令。无需安装软硬件,访问网站或使用移动应用即可获取。可保存历史记录,下次打开网页直接查看口令。
兼容谷歌验证器,开源的动态验证码小程序了解一下
ZicoChan的博客
09-02 1193
在我们登录一些网站、应用、游戏时,见到动态验证码的频率越来越多了。最常见的应该就是Google Authenticator,暴雪安全令之类的应用,通过不断变换的动态数字来最大限度的保证账号的数据安全。 今天 Gitee 推荐的这款开源项目,是依托于微信小程序的动态验证码应用,它的表现如何呢,一起来看看吧。 项目名称:OTP 项目作者:当当 开源许可协议:MIT 项目地址:https://gitee.com/ghostmemory/otp 项目简介 基于时间戳算法TOTP)..
微信小程序实现动态密码管理的创新方案
微信小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的概念,用户扫一扫或者搜一下即可打开应用。微信小程序可以完成许多PC端或移动应用可以做的事情,同时它们运行在微信内部,可以方便地...
totp.js 使用教程
gitblog_00629的博客
09-13 1047
totp.js 使用教程 项目地址:https://gitcode.com/gh_mirrors/to/totp.js 1. 项目介绍 totp.js 是一个纯 JavaScript 实现的双因素认证(Two-Factor Authentication, 2FA)库。它支持生成基于时间的一次性密码(TOTP)和基于计数器的一次性密码(HOTP),并且兼容 Google Authenticator。...
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很简单:$ pi
了解OTP
月来better
02-26 5554
OTP(一种密码算法)一般指一次性密码 一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。 一次性密码(英语:One Time Password,简称OTP),又称动态密码或单次有效密码,是指计算器系统或其他数字设备上只能使用一次的密码,有效期为只有一次登录会话或交易。OTP 避免了一些与传统基于(
物联网安全-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 2102
动态口令学习记录
java 动态密码错误_什么是OTP:Java一次动态密码、付款码原理
weixin_34515601的博客
02-24 1521
1. 什么是OTP一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。12. OTP原理动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码,OTP一般分为计次使用以及计时使用两种,计次使用OTP产出后,可在不限时间内使用;计时使用OTP则可设置密码有效时间,从30秒到两分钟不等...
纯JavaScript实现的双因素认证:totp.js
gitblog_00658的博客
09-13 937
纯JavaScript实现的双因素认证:totp.js 项目地址:https://gitcode.com/gh_mirrors/to/totp.js 项目介绍 在当今数字化时代,安全性是每个应用的核心关注点。为了提升用户账户的安全性,双因素认证(2FA)已成为一种广泛采用的安全措施。totp.js 是一个纯JavaScript实现的双因素认证库,支持基于时间的一次性密码(TOTP)和基于计数器的一...
使用OTP动态令牌认证
weixin_44153121的博客
11-13 4262
OTP(One-Time Password)是一种基于共享密钥和时间戳算法的一次性密码。一般每30或60秒产生一个新口令,在客户端的动态口令和服务器的动态口令验证时,要求客户端和服务器能够保持一致的时间,计算的动态口令才能一致。
Java实现TOTP动态口令验证
netuser1937的博客
09-10 2148
动态口令使用场景 服务器登录动态口令验证 WEB应用密码登录二次验证 银行转账动态口令 package org.totp.commons.util; import org.apache.commons.codec.binary.Base32; import org.apache.commons.lang3.RandomStringUtils; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.
使用OTP动态口令(每30s变一次)进行登录认证
热门推荐
weixin_40010498的博客
03-22 1万+
GIT地址:https://github.com/suyin58/otp-demo 在对外网开放的后台管理系统中,使用静态口令进行身份验证可能会存在如下问题: (1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解; (2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取; (3) 内部工作人员可通过合法授权取得用户密码...
001 - TOTP 和 Google 身份验证器
weixin_46253518的博客
04-05 6202
双因子验证,TOTP, Google 验证器
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值