SpringBoot-Google二步验证
- 概念:Google身份验证器Google Authenticator是谷歌推出的基于时间的一次性密码(Time-based One-time Password,简称TOTP),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。
- Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件用于Google的认证服务。此项服务所使用的算法已列于RFC 6238和RFC 4226中。
一、流程
- 用户请求服务器生成密钥
- 服务器生成一个密钥并与用户信息进行关联,并返回密钥(类似:
XX57HWC7D2FA4X4GLOHOASTGPMVI5EFA
)和一个二维码信息(此步骤还没有绑定)
- 用户把返回的二维码信息传给服务器,生成一个二维码
信息大概长这样的:otpauth://totp/https%3A%2F%2Fwww.lrshuai.top%3Arstyro?secret=XX57HWC7D2FA4X4GLOHOASTGPMVI5EFA&issuer=https%3A%2F%2Fwww.lrshuai.top
- 用户通过身份验证器扫描二维码即可生成一个动态的验证码
- 用户传当前动态的验证码和密钥给服务器,校验密钥的正确性(此密钥与用户真正的绑定)
- 上面有些步骤不必须的,看需求,可以简化为两步。
- 1、生成密钥
- 2、扫码
上面那么多只是为了准确性而已
二、安装身份验证器
三、代码实现
1、前言
- 为了比较真实所以添加了注册和登录接口
- 为了方便集成了
Swagger-ui
和全部是GET
请求,不会用Swagger-ui
,就直接地址栏请求或者Postman
都可
- 注册用户全部放Redis
- 登录与Google校验,也以注解方式实现
- 登录以token方式,所以请求其他接口的时候都要带上token,可以把token放在header里面
2、代码
UserController
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.*;
import top.lrshuai.googlecheck.annotation.NeedLogin;
import top.lrshuai.googlecheck.base.BaseController;
import top.lrshuai.googlecheck.common.Result;
import top.lrshuai.googlecheck.dto.GoogleDTO;
import top.lrshuai.googlecheck.dto.LoginDTO;
import top.lrshuai.googlecheck.service.UserService;
import top.lrshuai.googlecheck.utils.QRCodeUtil;
import javax.imageio.ImageIO;
import javax.servlet.http.HttpServletResponse;
import java.awt.image.BufferedImage;
import java.io.OutputStream;
@Controller
@RequestMapping("/user")
@Api(tags = "用户模块")
public class UserController extends BaseController {
@Autowired
private UserService userService;
@GetMapping("/register")
@ApiOperation("注册")
@ResponseBody
public Result register(LoginDTO dto) throws Exception {
return userService.register(dto);
}
@GetMapping("/login")
@ApiOperation("登录")
@ResponseBody
public Result login(LoginDTO dt