使用 Golang 实现基于时间的一次性密码 TOTP

已于 2023-12-16 22:19:45 修改
阅读量571 收藏
点赞数 1
分类专栏: 身份认证与授权 Golang系列知识讲解 后端系列知识讲解 文章标签: golang 开发语言 后端 身份认证
于 2023-11-06 21:51:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/134255708
版权

目录

为用户生成 TOTP Key

把密钥和密码生成规则分享给用户

为用户提供“恢复码” Recovery Codes

校验用户输入的 TOTP 密码

模拟生成密钥、校验密码的代码

为什么国内鲜见支持 TOTP 验证的网站?

上篇文章详细讲解了一次性密码 OTP 相关的知识,基于时间的一次性密码 TOTP 是 OTP 的一种实现方式。这种方法的优点是不依赖网络,因此即使在没有网络的情况下,用户也可以生成密码。所以这种方式被许多流行的网站使用到双因子或多因子认证中,包括 Google、GitHub、Facebook 和 Salesforce 等等。

因为 TOTP 是标准化的协议并且被广泛采用,所以有很多对应的移动应用或者 web 应用实现,被称为身份验证器应用,例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多优秀的三方库可以帮助我们快速实现 TOTP 的服务端实现,其中比较有代表性的是 pquerna/otp 库,接下来就使用这个库来演示一下 TOTP 的服务端实现流程。

为用户生成 TOTP Key

用户开启双因子认证时,为用户生成 TOTP Key,用于生成 TOTP 密码。将这个密码保存在数据库或者秘钥管理系统中,生成 key 的关键代码如下:

key, err := totp.Generate(totp.GenerateOpts{
		Issuer:      "Github",
		AccountName: "user@example.com",
		Period:      30,
		Digits:      otp.DigitsSix,
    Algorithm: otp.AlgorithmSHA1,
	})

这几个参数的意思如下:

  • Issuer 意思是应用名称,例如 Github。
  • AccountName 意思要给哪个用户生成 key。
  • Period 意思是 TOTP 密码的有效时间,也是不同 TOTP 密码的生成时间间隔,一般为 30 秒。
  • Digits 意思是生成的密码长度,一般为 6 位。
  • Algorithm,用于 HMAC 签名的算法,默认是 SHA1。

把密钥和密码生成规则分享给用户

通常是将秘钥和密码规则信息以二维码的形式展示给用户,用户使用身份验证器应用扫描二维码保存相关信息并且生成密码。二维码中的内容格式一般如下:

otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM

为用户提供“恢复码” Recovery Codes

生成“恢复码” Recovery Codes (使用随机生成的字符串即可)存储到数据库或者秘钥管理系统中。当用户不能访问自己的 TOTP 设备(例如将 TOTP 应用中的 TOTP 秘钥删除了、将 TOTP 应用卸载了、手机丢失了等)时,就无法登录自己的帐户了。因为这种情况比较常见,所以很多网站都会给用户提供“备份代码”或“恢复代码”,并且每个只能使用一次,可以临时用来代替 TOTP 密码。

校验用户输入的 TOTP 密码

用户再次登录后,触发双因子认证,要求用户输入 TOTP 密码,服务端检验这个密码。校验的关键代码如下:

// 验证一次性密码
isValid := totp.Validate(passcode, key.Secret())

模拟生成密钥、校验密码的代码

package main

import (
	"fmt"
	"time"

	"github.com/pquerna/otp"
	"github.com/pquerna/otp/totp"
)

func main() {
	// 生成密钥
	key, err := totp.Generate(totp.GenerateOpts{
		Issuer:      "Github",
		AccountName: "user@example.com",
		Period:      30,
		Digits:      otp.DigitsSix,
		Algorithm:   otp.AlgorithmSHA1,
	})
	if err != nil {
		panic(err)
	}

	fmt.Println("Secret URL: ", key.URL())

	// 模拟生成一个一次性密码
	now := time.Now()
	passcode, err := totp.GenerateCode(key.Secret(), now)
	if err != nil {
		panic(err)
	}

	// 验证一次性密码
	valid := totp.Validate(passcode, key.Secret())
	if valid {
		fmt.Println("Valid passcode!")
	} else {
		fmt.Println("Invalid passcode!")
	}
}

为什么国内鲜见支持 TOTP 验证的网站?

TOTP 实现起来是非常简单的,但是国内主流网站几乎没哟支持的。首要的原因就是用户的使用成本高,体现在以下几个方面:

  1. 理解成本高:一般用户理解 TOTP 真的很困难。
  2. 使用成本高:生成 TOTP 的载体一般是 APP、网页或者小程序,总之需要借助一个额外的工具才能完成,太麻烦。
  3. 如果信息丢失,找回难度高:如果用户用于生成 TOTP 的 APP 卸载了,就只能通过恢复码登录了,需要恢复码的时候用户可能根本就没有记录自己的恢复码。

其次是国内用户长期以来习惯了短信验证码这种两步验证方式,对于大多数用户来说,接收短信验证码是一种最简单直观的方法,几乎无理解成本。

路多辛
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OTP一次性动态密码工具实现
chenchongg的博客
01-09 9440
对于企业内部信息安全或行业安全合规性需求,3A认证、授权、审计是必要的基础安全审查项。认证安全机制要求双因素认证,从技术要可使用基于数字证书和OTP实现满足。 OTP分为两种技术算法HOTP(基于次数 RFC 4226)和TOTP(基于时间 RFC 6238)标准。而目前开源的Google Authenticator工具很好的实现OTP移动端APP的使用与密钥管理。 为了在企业运维安全加固需求...
otpgo:Go的基于时间一次性密码(TOTP)和基于HMAC的一次性密码(HOTP)库
05-08
otpgo Go的基于HMAC和基于时间一次性密码(HOTP和TOTP)库。 实现和 。 内容 在Authenticator App中注册 二维码 手动注册 默认值 HOTP参数 TOTP参数 支持的运营 生成HOTP和TOTP代码。 验证HOTP和TOTP代码。 将OTP配置导出为Google Authenticator URI 。 将OTP配置导出为QR码图像(用于在身份验证器应用中注册机密)。 将OTP配置导出为JSON。 阅读材料 HOTP:基于HMAC的一次性密码算法 TOTP:基于时间一次性密码算法 Google身份验证器密钥URI格式 浏览器身份验证器演示 用法 生成代码 生成代码的最简单方法是创建HOTP / TOTP结构并调用Generate() // // HMAC-Based // // Will use all default values
安全开发身份认证方案之 Google 身份验证器和基于时间一次性密码 TOTP 算法
skysys的研究小屋
12-11 2715
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
【IoT】加密与安全:双因素认证(2FA):TOTP
产品线负责人
05-25 3471
认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。密码是最常见的认证方法,但是不安全,容易泄露和冒充。 基于安全认证,很多场景要求启用双因素认证(Two-factor authentication,简称 2FA)。 1、什么是双因素认证 一般有三种不同类型的证据可以证明一个人的身份。 1) 秘密信息 只有该用户知道、其他人不知道的某种信息,比如密码。 ...
Golang实现的基于时间轮算法的定时器.zip
06-27
555定时器
golang实现基于channel的通用连接池详解
01-03
golang的channel除了goroutine通信之外还有很多其他的功能,本文将实现一种基于channel的通用连接池。下面话不多说了,来一起看看详细的介绍吧。 功能 * 连接池中连接类型为interface{},使得更加通用 * 链接的最大...
Golang 使用接口实现泛型的方法示例
09-19
主要介绍了Golang 使用接口实现泛型的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Golang协程实现流量统计系统视频.zip
03-01
目录网盘文件永久链接 project.zip 第l章课程介绍.a 第2章并发栏型Tan 第3章Go的协程rar 第4章示例环境搭建ram 第5章Go批里生成日志ar 第6章统计系统框架构成.rar 第7章统计统之口志费.rar 第8章统计系统之批星解析a...
go--本地下载包
weixin_63566388的博客
07-23 308
下载完成后,你可以验证包是否已正确下载。下载并安装适合你操作系统的版本。:确保已经安装 Go。
protoc-gen-go-http: program not found or is not executable
lemonth的博客
07-19 357
1 先升级到最新版 sudo kratos upgrade #3 安装 protoc-gen-go-errors。
go 用字面量的方式创建对象
servepeople的博客
07-23 122
在 Go 语言中,可以使用字面量的方式创建对象(结构体)。这种方法可以简洁地初始化结构体,并且可以在定义和赋值时同时完成。这种方法可以让代码更加简洁和易读,尤其是在初始化对象时。为结构体方法添加单元测试以验证其功能。添加更多字段并尝试不同的结构体嵌套。
GoLangGolang 快速入门(第一篇)
最新发布
abclui的专栏
07-23 706
1) visual studio code, Microsoft产品(简称VSCode):一个运行于Mac Os、Windows和Linux 之上的,默认提供Go语言的语法高亮,安装Go语言插件,还可以支持智能提示,编译运行等功能。
Go基础编程 - 11 - 函数(func)
07-22 698
Go语言函数详解,匿名函数、闭包、递归、延迟调用、高阶函数等。
Go语言的异常处理
qq_31667253的博客
07-23 173
内嵌异常接口自定义异常 参考内置errors包 errorString结构体实现err1 := New("创建一个错误信息")if err1!= nil {fmt.Println("这里是错误信息:", err1)s stringreturn e.s// 输出// 这里是错误信息: 创建一个错误信息。
Golang | Leetcode Golang题解之第263题丑数
weixin_66442839的博客
07-20 307
Golang | Leetcode Golang题解之第263题丑数
Elasticsearch:Golang ECS 日志记录 - zerolog
Elastic 中国社区官方博客
07-23 908
ECS 记录器是你最喜欢的日志库的格式化程序/编码器插件。它们可让你轻松地将日志格式化为与 ECS 兼容的 JSON。在本教程中,我将详述如何编码器以 JSON 格式记录日志,并以 ECS处理错误字段的记录。
Go 1.22 remote error: tls: handshake failure
Mike铭
07-23 173
golang升级1.22后就会出错 remote error: tls: handshake failure
Kafka介绍及Go操作kafka详解
yonggeit的博客
07-19 506
每个业务系统都有日志,当系统出现问题时,需要通过日志信息来定位和解决问题。当系统机器比较少时,登陆到服务器上查看即可满足当系统机器规模巨大,登陆到机器上查看几乎不现实(分布式的系统,一个系统部署在十几台机器上)LogAgent:日志收集客户端,用来收集服务器上的日志Kafka:高吞吐量的分布式队列(Linkin开发,Apache顶级开源项目)ElasticSearch:开源的搜索引擎,提供基于HTTP RESTful的web接口Kibana:开源的ES数据分析和可视化工具。
golang实现密码登录
06-06
下面是一个简单的 Golang 代码示例,用于实现密码登录功能: ```go package main import ( "fmt" "golang.org/x/crypto/bcrypt" ) func main() { // 假设用户输入的密码为 "password" password := "password" // 对密码进行加密处理 hashedPassword, err := bcrypt.GenerateFromPassword([]byte(password), bcrypt.DefaultCost) if err != nil { fmt.Println("密码加密失败!") return } // 假设从数据库中获取的加密后的密码为 "hashedPassword" storedPassword := "hashedPassword" // 比较输入的密码与数据库中的密码是否一致 err = bcrypt.CompareHashAndPassword([]byte(storedPassword), []byte(password)) if err != nil { fmt.Println("密码错误!") return } fmt.Println("登录成功!") } ``` 代码中使用了 `golang.org/x/crypto/bcrypt` 包来对密码进行加密处理和比较操作。`bcrypt.GenerateFromPassword()` 函数接受两个参数,第一个参数是要加密的密码,第二个参数是加密的强度,这里使用了默认强度。 `bcrypt.CompareHashAndPassword()` 函数接受两个参数,第一个参数是从数据库中获取的加密后的密码,第二个参数是用户输入的密码。如果两个密码一致,函数将返回 `nil`,否则将返回一个错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值