为您的Web应用程序启用两因素身份验证

支持两因素身份验证（2FA）几乎总是一个好主意，尤其是对于后台系统。 2FA有许多不同的形式，其中一些包括SMS，TOTP甚至是硬件令牌 。

启用它们需要类似的流程：

• 用户转到其个人资料页面（如果要在注册时强制使用2fa，请跳过此页面）
• 单击“启用两因素身份验证”
• 输入一些数据以启用特定的2FA方法（电话号码，TOTP验证码等）
• 下次他们登录时，除了用户名和密码外，登录表单还会请求第二个因素（验证码）并将其与凭据一起发送

我将重点介绍Google Authenticator，它使用TOTP（基于时间的一次性密码）生成一系列验证码。 想法是服务器和客户端应用程序共享一个密钥。 基于该键和当前时间，两者都使用相同的代码。 当然，时钟不能完全同步，因此服务器会接受一些窗口作为有效代码。 请注意，如果您不信任Google的应用程序，则可以使用以下相同的库来实现自己的客户端应用程序（尽管您可以查看源代码以确保没有恶作剧发生）。

如何用Java（在服务器上）实现呢？ 使用GoogleAuth库 。 流程如下：

• 用户转到其个人资料页面
• 单击“启用两因素身份验证”
• 服务器生成一个秘密密钥，将其存储为用户配置文件的一部分，然后将URL返回到QR码
• 用户使用其Google Authenticator应用程序扫描QR码，从而在该应用程序中创建新的个人资料
• 用户在与QR码一起显示的字段中输入应用程序显示的验证码，然后点击“确认”
• 服务器在用户配置文件中将2FA标记为已启用
• （可选）您可以为用户提供一些“便笺代码”，以防他们丢失应用程序或机密信息时可以写下来。
• 如果用户不扫描代码或不验证过程，则用户个人资料将仅包含孤立的秘密密钥，但不会被标记为已启用
• 应该有一个选项，以后可以从其用户个人资料页面禁用2FA

从理论的角度来看，最重要的一点是共享密钥。 密码是对称的，因此双方（身份验证器应用程序和服务器）具有相同的密钥。 它是通过用户扫描的QR码共享的。 如果此时攻击者可以控制用户的计算机，则机密可能会泄露，从而2FA也会被攻击者滥用。 但这不在威胁模型中，换句话说，如果攻击者可以访问用户的计算机，则无论如何都已经造成了损害。

注意：您可能会看到此过程称为2步身份验证或2因子。 “因素”是：“您知道的东西”，“您拥有的东西”和“您自己的东西”。 您可以将TOTP视为“您知道”的另一件事，但是您也可以将带有安全存储的密钥的电话视为“您拥有的”东西。 在这种特殊情况下，我不坚持使用任何一种术语。

登录后，流程如下：

• 用户输入用户名和密码，然后单击“登录”
• 使用AJAX请求，页面询问服务器此电子邮件是否已启用2FA
• 如果未启用2FA，只需提交用户名和密码表格
• 如果启用了2FA，则不会提交登录表单，而是显示一个附加字段，以允许用户从身份验证器应用程序中输入验证码
• 用户输入代码并按登录后，即可提交表单。 使用相同的登录按钮，或使用新的“验证”按钮，或使用验证输入+按钮可能是全新的屏幕（隐藏用户名/密码输入）。
• 然后，服务器再次检查用户是否启用了2FA，如果是，则验证验证码。 如果匹配，则登录成功。 如果不是，则登录失败，并且允许用户重新输入凭据和验证码。 请注意，根据用户名/密码错误或代码错误，您可能会有不同的响应。 您甚至可以在尝试显示验证码输入之前尝试登录。 这种方法可以说是更好的方法，因为这样您就不会向潜在的攻击者透露用户使用2FA。

我说的是用户名和密码，这可以应用于任何其他身份验证方法。 从OAuth / OpenID Connect / SAML提供程序获得成功确认之后，或者从SecureLogin获得令牌之后，您可以请求第二个因素（代码）。

在代码中，上述过程如下所示（使用Spring MVC；为简便起见，我将控制器和服务层合并。您可以使用将当前登录的用户详细信息提供给控制器的方式替换@AuthenticatedPrincipal位）。 假设方法在控制器中映射到“ / user /”：

@RequestMapping(value = "/init2fa", method = RequestMethod.POST)
@ResponseBody
public String initTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token) {
    User user = getLoggedInUser(token);
    GoogleAuthenticatorKey googleAuthenticatorKey = googleAuthenticator.createCredentials();
    user.setTwoFactorAuthKey(googleAuthenticatorKey.getKey());
    dao.update(user);
    return GoogleAuthenticatorQRGenerator.getOtpAuthURL(GOOGLE_AUTH_ISSUER, email, googleAuthenticatorKey);
}

@RequestMapping(value = "/confirm2fa", method = RequestMethod.POST)
@ResponseBody
public boolean confirmTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token, @RequestParam("code") int code) {
    User user = getLoggedInUser(token);
    boolean result = googleAuthenticator.authorize(user.getTwoFactorAuthKey(), code);
    user.setTwoFactorAuthEnabled(result);
    dao.update(user);
    return result;
}

@RequestMapping(value = "/disable2fa", method = RequestMethod.GET)
@ResponseBody
public void disableTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token) {
    User user = getLoggedInUser(token);
    user.setTwoFactorAuthKey(null);
    user.setTwoFactorAuthEnabled(false);
    dao.update(user);
}

@RequestMapping(value = "/requires2fa", method = RequestMethod.POST)
@ResponseBody
public boolean login(@RequestParam("email") String email) {
    // TODO consider verifying the password here in order not to reveal that a given user uses 2FA
    return userService.getUserDetailsByEmail(email).isTwoFactorAuthEnabled();
}

QR码生成使用Google的服务，从技术上讲，它也为Google提供了秘密密钥。 我怀疑它们除了生成QR码外还会存储它，但是，如果您不信任它们，则可以实现自己的QR码生成器， 那么自己生成QR码应该不难 。

在客户端，它是对上述方法的简单AJAX请求（旁注：我觉得AJAX一词不再流行，但我不知道如何称呼它们。异步，背景或Javascript）。

$("#two-fa-init").click(function() {
    $.post("/user/init2fa", function(qrImage) {
	$("#two-fa-verification").show();
	$("#two-fa-qr").prepend($('<img>',{id:'qr',src:qrImage}));
	$("#two-fa-init").hide();
    });
});

$("#two-fa-confirm").click(function() {
    var verificationCode = $("#verificationCode").val().replace(/ /g,'')
    $.post("/user/confirm2fa?code=" + verificationCode, function() {
       $("#two-fa-verification").hide();
       $("#two-fa-qr").hide();
       $.notify("Successfully enabled two-factor authentication", "success");
       $("#two-fa-message").html("Successfully enabled");
    });
});

$("#two-fa-disable").click(function() {
    $.post("/user/disable2fa", function(qrImage) {
       window.location.reload();
    });
});

登录表单代码在很大程度上取决于您正在使用的现有登录表单，但是重点是使用电子邮件（和密码）调用/ requires2fa以检查是否启用了2FA，然后显示验证码输入。

总体而言，两因素身份验证的实现很简单，我建议将其用于大多数系统，在这些系统中，安全性比用户体验的简单性更为重要。

翻译自: https://www.javacodegeeks.com/2017/10/enabling-two-factor-authentication-web-application.html