导出Google身份校验器otp密钥迁移到web

最新推荐文章于 2024-04-10 09:55:39 发布
最新推荐文章于 2024-04-10 09:55:39 发布
阅读量2.9k 收藏 4
点赞数
分类专栏: 小技术 Java 文章标签: 前端 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyq94310/article/details/128736674
版权

导出Google身份校验器otp密钥迁移到web

背景:

公司的堡垒机需要使用30s有效期otp动态密码做二次登录。实现某些情况下,同事可通过web,在规定的有效期内可获取otp二次授权密码

otp:一次性密码(英语:OneTimePassword,简称OTP),通过密钥和时间hash得到固定长度的密码

Google身份校验器otpt密钥导出

Google身份校验器导出二维码,通过解析二维码可得到otpauth-migration://offline?data=XXXX的一串数据。

解析otpauth-migration数据,我用到了extract_otp_secrets的python项目,解析后,拿到Secret

在这里插入图片描述

项目代码

已上传GitHub 项目代码,具体代码可参考

otp密码加解密

otp密码比较敏感,既然要上传GitHub,需做好加密
pom中引入jasypt-maven-plugin插件,方便加解密

# 加密
mvn jasypt:encrypt-value -Djasypt.encryptor.password="password" -Djasypt.plugin.value="value"
解密
mvn jasypt:decrypt-value -Djasypt.encryptor.password="password" -Djasypt.plugin.value="ENC(47GYBJezlwnAkSUsVpoJhN2PmUSxhy2+RzakDWkjUZyZFCyZc676w3znplmuf/0F)"

加密把密文写入配置文件中,密钥通过启动JVM参数传入

接口列表

  • port:/ :获取otp

有效期内返回

otp=987728 ,expires later :7second!!

在这里插入图片描述

非有效期

在这里插入图片描述

  • port:/update/{minutes} :更新密码有效期

技术列表

1 使用otp-java生成otp密码

<dependency>
    <groupId>com.github.bastiaanjansen</groupId>
    <artifactId>otp-java</artifactId>
    <version>1.3.2</version>
</dependency>

2 使用jasypt加密otp密码

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

Docker

使用docker部署

# 构建image
docker build -t myotp:v1.1.19 .

# 启动 传入密钥
docker run -d -p 8090:8090 -e JAVA_ARGS='-Djasypt.encryptor.password=passwd'   --name otp myotp:v1.1.19

开源项目地址

jaspty

otp-java

extract_otp_secrets

Grovvy_Deng
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接入google-authenticator opt(one time password一次性密码)
ordmeng的博客
01-10 5358
参考资源: https://github.com/ruansheng/technology-study/blob/master/other/otp.md 百度百科: 一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔30或60秒生成一个不可预测的随机数字组合。 实现原理: 动态密码是基于时间、...
authenticator-export:导出 Google 身份验证数据
07-22
验证导出 从应用程序数据库导出 Google 身份验证数据。 捕获此文件留给读者作为练习,但 @unusualbob 对此有一套。 跑步 将您的database直接放在此项目的根目录中。 运行node index.js 。 加载并导入您的代码!
extract_otp_secret_keys:从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥
04-13
Google Authenticator中提取TOTP / HOTP秘密密钥 从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥 用法 从“ Google Authenticator”应用中导出QR码 使用QR码阅读阅读QR码 将捕获的QR码保存在文本文件中。 将每个QR码保存在新行中。 (捕获的QR代码看起来像otpauth-migration://offline?data=... ) 使用文件作为输入来调用此脚本: python extract_otp_secret_keys.py -p example_export.txt 要求 要运行此脚本,必须使用Google for proto3的protobuf软件包。 建议使用protobuf> = 3.14。 pip install protobuf 已知与之合作 Py
Authenticator 备份密钥/导出
cherrycmd的专栏
02-18 6148
Google Authenticator 备份密钥
关于Google身份验证、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7668
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
Google Authenticator认证密钥从手机App中同步到Chrome浏览插件中
三劫散仙
10-26 4234
现在很多重要的项目都用了Google Authenticator来做安全认证,比如Github,Jumpserver等等,但每次认证登录时候,都得掏出来手机看token码就比较麻烦。还好 Google Authenticator 有 Chrome 浏览插件,可以直接同步手机上的认证条目就非常nice,相比起来 FreeOTP 就太难用了,下面看下同步方法。hl=zh-CN。
gauth-export:将Google Authenticator迁移QR码转换为纯otpauth URI
03-06
Google Authenticator迁移QR码转换为纯otpauth URI。 用法 导航至菜单>转移帐户>导出帐户。 制作屏幕截图并将其上传到此网站。 如果QR码不适合您,请尝试使用其他应用程序对其进行扫描,然后手动输入otpauth-migration URI。 所有数据都保留在您的PC上,所有数据都在本地计算! 有关的 执照 版权所有(c)2021 korki /
2fa:用Bash编写的一些OTP密钥管理
02-10
在压缩包内的文件“2fa-main”可能是这个OTP密钥管理的主要脚本文件,包含用于生成、存储和验证OTP密钥的代码。通常,这样的脚本可能会做以下事情: 1. 读取和存储密钥:从安全的位置(如加密的文件或环境变量)...
Google身份验证:Clojure程序使用TOTP计算您的Google身份验证OTP
01-30
Clojure程序,用于计算您的Google身份验证otp。 我个人使用它来自动与苹果脚本一起连接到VPN。 但是您可以找到其他用例,在这些用例中,您需要自动化OTP的计算和提交。 托普 Google身份验证将Totp(基于时间的...
身份宝动态口令下载(OTP
02-08
阿里云的身份宝找不到下载地址,有幸以前保留的有一个版本
使用用户身份验证方法的Web安全:CAPTCHA,OTP和用户行为身份验证-研究论文
05-20
当我们提到银行系统时,由于互联网与银行之间的穿越时光,安全性处于更高的地位。 自从最近几年以来,由于各种黑客... 本文讨论了用于用户身份验证的CAPTCHA,OTP和UBA的方法,还讨论了通过这些方法进行的Web安全性。
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很简单:$ pi
安全开发身份认证方案之 Google 身份验证和基于时间的一次性密码 TOTP 算法
skysys的研究小屋
12-11 2739
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
谷歌身份验证的一次性验证_使用一次性密码创建和应用多因素身份验证策略
cuyi7076的博客
07-01 2463
本教程描述了如何将ISAM for Mobile基于上下文的访问(CBA)策略应用于IBM DataPower Gateway(以下称为DataPower)。 它扩展了本系列第1部分中描述的功能。 您将开发一种移动访问策略,该策略要求在尝试“高价值”交易时执行身份验证。 使用的身份验证机制是一次性密码(OTP)的一种形式。 此机制是作为政策执行义务触发的。 触发时,OTP表示强大的第二因素身份...
OTP验证】Google Authenticator接入教程
qq_36328101的博客
11-06 1199
谷歌OTP认证登录入门教程
谷歌身份验证的使用超详细步骤
weixin_48974246的博客
11-01 2万+
谷歌身份验证Google Authenticator是谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证Google Authenticator来做二次认证,开启谷歌身份验证之后,登录账户,除了输入用户名和密码,还需要输入谷歌验证上的动态密码。4.4.扫描生成的二维码,即可。
使用GitCode上的`extract_otp_secrets`项目:轻松提取OTP秘密并保障安全
最新发布
gitblog_00043的博客
04-10 409
使用GitCode上的extract_otp_secrets项目:轻松提取OTP秘密并保障安全 项目地址:https://gitcode.com/scito/extract_otp_secrets extract_otp_secrets 是一个开源项目,旨在帮助开发者和安全专家从各种备份文件中安全地提取一次性密码(OTP)的秘密种子。该项目使用Python编写,提供了简单易用的接口,让任何人都可以...
谷歌身份验证(Google Authenticator)的使用详情
热门推荐
weixin_43486863的博客
11-08 3万+
谷歌身份验证(Google Authenticator) 前言 Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个双重身份验证,来达到提升安...
google authenticator python_Google Authenticator TOTP原理详解(以Python为例)
weixin_39898550的博客
12-06 456
-------谢谢您的参考,如有疑问,欢迎交流一、 原理详解(点击图片然后放大查看)二、 验证1、下载Google谷歌身份验证。2、通过Python 的qrcode和pyotp模块生成二维码。3、然后使用下载的谷歌身份验证扫描生成的二维码如果没有谷歌服务,则选择输入秘钥,在账户明处填入name参数,在秘钥处填入Secret即可。4、对比手机上谷歌验证显示的6位动态码,你会发现,和【原理详解...
oauth2.0校验成功后校验otp
09-15
OAuth 2.0校验成功后校验OTP(一次性密码)是一种额外的安全层次,用于确认用户的身份。在OAuth 2.0授权流程中,校验OTP可以确保授权流程中的用户拥有合法的OTP,以增加对未经授权用户的保护。以下是校验OTP的步骤: 1. 获取OTP:在授权流程的某一步骤中,通过用户名和密码等方式获取OTP。通常,OTP由一个固定长度的数字或字符组成,可通过短信、邮件或专用的OTP生成等方式提供给用户。 2. 发送OTP:将获取到的OTP发送给用户,让其输入到指定的位置。 3. 接收OTP:应用程序接收用户输入的OTP。 4. 校验OTP:将接收到的OTP与之前获取到的OTP进行比较。如果两者一致,则说明用户身份得到验证,可以继续进行后续操作;如果不一致,则可能说明用户身份存在问题,应中断当前操作或进行其他安全措施。 通过校验OTP,可以提高OAuth 2.0的安全性,防止未经授权的用户使用合法的凭证访问受保护的资源。因此,在OAuth 2.0授权流程的校验成功后,校验OTP有助于确保用户的身份并进一步加强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值