登陆双因子认证介绍及实现

已于 2024-07-19 14:57:40 修改
阅读量1.5k 收藏 13
点赞数 4
文章标签: TOTP 登陆
于 2024-07-19 14:56:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38001814/article/details/140547715
版权

目录

前言

TOTP

介绍

Java实现

小插曲

前言

双因子认证(2FA),有时又被称作两步验证或者双因素验证,是一种主流安全验证过程。在这一验证过程中,需要用户提供两种不同的认证因素来证明自己的身份(通俗一点说即身份验证涉及两个阶段,通常是除了常规账密登录以外的另一种验证方式,比如短信验证,TOTP动态口令验证),从而更好地保护用户证书和用户可访问的资源。

从正常业务来说,未开启双因子认证时,用户可通过账密、微信扫码、短信验证码等单认证方式进行登录,当开启双因子认证后,用户需要通过账密登录+短信验证码/TOTP动态口令才能完成登陆,具体选择通过后台运维配置实现。短信验证码方式比较简单(在国内使用短信验证码方式实现2FA其实比较常见,但似乎不被某些专家认可),直接忽略,本文介绍下TOTP模式

TOTP

介绍

全程是基于时间的一次性口令(Time-Based One-Time Password),它是公认的可靠解决方案,已经写入国际标准RFC6238。目前支持TOTP的应用app:

  • 腾讯身份验证器
  • Google Authenticator
  • Microsoft Authenticator

个人推荐谷歌和微软的,腾讯的在某几次测试下存在问题

Java实现

首先引入maven依赖

        <dependency>
            <groupId>org.jboss.aerogear</groupId>
            <artifactId>aerogear-otp-java</artifactId>
            <version>1.0.0</version>
        </dependency>

totp工具

public class TotpUtils {

    public static String generateSecretKey() {
        return Base32.random();
    }

    public static String getTotpUri(String secretKey, String username) {
        return "otpauth://totp/YourAppName:" + username + "?secret=" + secretKey + "&issuer=YourAppName";
    }

    public static boolean verifyCode(String code, String secretKey) {
        Totp totp = new Totp(secretKey);
        return totp.verify(code);
    }
}

上面工具类的 getTotpUri 方法用于生成二维码,以供用户使用身份验证App进行扫码绑定,二维码工具类如下,可参考

        <!-- zxing生成二维码 -->
        <dependency>
            <groupId>com.google.zxing</groupId>
            <artifactId>core</artifactId>
            <version>3.3.3</version>
        </dependency>

        <dependency>
            <groupId>com.google.zxing</groupId>
            <artifactId>javase</artifactId>
            <version>3.3.3</version>
        </dependency>
public class QRCodeUtil {

    //CODE_WIDTH:二维码宽度,单位像素
    private static final int CODE_WIDTH = 400;
    //CODE_HEIGHT:二维码高度,单位像素
    private static final int CODE_HEIGHT = 400;
    //FRONT_COLOR:二维码前景色,0x000000 表示黑色
    private static final int FRONT_COLOR = 0x000000;
    //BACKGROUND_COLOR:二维码背景色,0xFFFFFF 表示白色
    private static final int BACKGROUND_COLOR = 0xFFFFFF;

    public static void createCodeToFile(String content, File codeImgFileSaveDir, String fileName) {
        try {
            if (StringUtils.isEmpty(content) || StringUtils.isEmpty(fileName)) {
                return;
            }
            content = content.trim();
            if (codeImgFileSaveDir==null || codeImgFileSaveDir.isFile()) {
                //二维码图片存在目录为空,默认放在桌面...
                codeImgFileSaveDir = FileSystemView.getFileSystemView().getHomeDirectory();
            }
            if (!codeImgFileSaveDir.exists()) {
                //二维码图片存在目录不存在,开始创建...
                codeImgFileSaveDir.mkdirs();
            }

            //核心代码-生成二维码
            BufferedImage bufferedImage = getBufferedImage(content);

            File codeImgFile = new File(codeImgFileSaveDir, fileName);
            ImageIO.write(bufferedImage, "png", codeImgFile);

            log.info("二维码图片生成成功:" + codeImgFile.getPath());
        } catch (Exception e) {
            log.error("二维码图片生成异常 {}", e.getMessage());
        }
    }

    /**
     * 生成二维码并输出到输出流
     * @param content  :二维码内容
     * @param outputStream :输出流
     */
    public static void createCodeToOutputStream(String content, OutputStream outputStream) {
        try {
            if (StringUtils.isEmpty(content)) {
                return;
            }
            content = content.trim();
            //核心代码-生成二维码
            BufferedImage bufferedImage = getBufferedImage(content);

            //区别就是这一句,输出到输出流中,如果第三个参数是 File,则输出到文件中
            ImageIO.write(bufferedImage, "png", outputStream);

            log.info("二维码图片生成到输出流成功...");
        } catch (Exception e) {
            log.error("二维码图片生成到输出流异常 {}", e.getMessage());
        }
    }

    //核心代码-生成二维码
    public static BufferedImage getBufferedImage(String content) throws WriterException {

        //com.google.zxing.EncodeHintType:编码提示类型,枚举类型
        Map<EncodeHintType, Object> hints = new HashMap();

        //EncodeHintType.CHARACTER_SET:设置字符编码类型
        hints.put(EncodeHintType.CHARACTER_SET, "UTF-8");

        //EncodeHintType.ERROR_CORRECTION:设置误差校正
        //ErrorCorrectionLevel:误差校正等级,L = ~7% correction、M = ~15% correction、Q = ~25% correction、H = ~30% correction
        //不设置时,默认为 L 等级,等级不一样,生成的图案不同,但扫描的结果是一样的
        hints.put(EncodeHintType.ERROR_CORRECTION, ErrorCorrectionLevel.M);

        //EncodeHintType.MARGIN:设置二维码边距,单位像素,值越小,二维码距离四周越近
        hints.put(EncodeHintType.MARGIN, 1);

        MultiFormatWriter multiFormatWriter = new MultiFormatWriter();
        BitMatrix bitMatrix = multiFormatWriter.encode(content, BarcodeFormat.QR_CODE, CODE_WIDTH, CODE_HEIGHT, hints);
        BufferedImage bufferedImage = new BufferedImage(CODE_WIDTH, CODE_HEIGHT, BufferedImage.TYPE_INT_BGR);
        for (int x = 0; x < CODE_WIDTH; x++) {
            for (int y = 0; y < CODE_HEIGHT; y++) {
                bufferedImage.setRGB(x, y, bitMatrix.get(x, y) ? FRONT_COLOR : BACKGROUND_COLOR);
            }
        }
        return bufferedImage;
    }
}

用户扫描系统生成的二维码后效果图如下:

具体使用时就更简单了,比如用户注册时生成密钥并入库,登陆认证时获取到对应用户的密钥然后调用上面的工具类校验即可。

小插曲

  • totp的授权绑定url如果包含中文,扫码会失败
  • totp的授权绑定url中如果携带period参数,想额外控制身份验证应用里码的有效时间,似乎不生效,App里永远都是显示的默认30s倒计时,代码里同样也将时间步长改为60,总归得不到我期望的结果,不太懂,本想着尝试下改成60s,失败告终


 

exchange邮件双因素认证需求参考
liaomingwu的专栏
10-20 576
exchange邮件双因素认证需求汇总,虽然都是exchange邮件双因素认证,都有提高安全性的需求,但是不同企业有不同的情况,需求侧重点还是不同的。这里将遇到的各个场景进行总结,以便能够更好的完善和丰富产品功能和特性,以便能够更好的满足更多的实际需求。
WEB应用快速实现双因素登录案例-FIDO身份认证
安当加密
12-19 1311
FIDO身份认证 传统的身份认证方式,无论是使用口令还是指纹等生物特征,几乎都要通过用户和服务器两侧的凭证匹配来完成。但是,随着数据泄漏的频发,全球的个人用户已经意识到,即使诸如雅虎、脸书这样规模,依赖互联网和用户信任的企业,也难以做到杜绝数据泄漏。邮箱、重要的业务系统出现异常登陆,我们还可以通过更换口令补救,但生物特征则无法如此随意。FIDO协议始终是围绕保护用户的隐私来设计的。这些协议不会向在线服务提供商提供可用于跟踪用户的信息。如果采用生物特征识别技术,用户生物特征绝不离开用户设备。 F.
双因子认证解决方案
weixin_30345055的博客
09-01 2183
什么叫双因子认证? 通俗的讲,一般的认证方式都是用户名/密码的方式,也就是只有密码这一个因子来作认证双因子无非是增加一个因子,增强认证的安全性。 常见解决方案 短信方式 邮件方式 电话语音方式 TOTP解决方案 前三种方案,其实都大同小异。Server端通过某种算法生成一段随机密码,通过短信、邮件或者电话的方式传递给用户,用户把随机密码作为登录的凭证传递给Server,Serv...
双因子认证(Two-factor authentication)
仔哥学编程
12-24 7787
简言之,双因素身份验证(也称为“两步验证”)是指身份验证涉及两个阶段——通常是除了常规密码)之外的某种一次性密码(OTP:One-Time Password)。网上银行已经使用这种方法很长一段时间了,最近这种方法也在全网流行起来。还有其他可用的方法,但基于时间的一次性密码(TOTP)非常常用。有几个移动应用程序支持该标准,Google Authenticator就是其中之一(Android、iOS)下图就是一个使用场景。
登录认证双因子)-手机令牌设计及实现
Ssoul、肥鱼的博客
09-06 4276
双因子验证(2FA),指互不相关的两个因子来验证用户身份,又被称作两步验证或者双因素验证,是一种安全验证过程。用户通过独有的认证因子做登录校验,通常是密码+令牌的形式。此处讲解令牌流程。
双因子登录
biubiubiubibibi的博客
07-15 1533
双因子登录
双因子认证系统登录模块
王村头的博客
04-21 4614
双因子认证系统登录模块 实现原理: 一、用户需要开启Google Authenticator服务时, 1.服务器随机生成一个类似于『DPI45HKISEXU6HG7』的密钥,并且把这个密钥保存在数据库中。 2.在页面上显示一个二维码,内容是一个URI地址(otpauth://totp/账号?secret=密钥),如『otpauth://totp/kisexu@gmail.com?secret=DPI45HCEBCJK6HG7』,下图: otpauth://totp/kisexu@gmail.com?s
业余草双因素认证(2FA)教程
xmt1139057136的专栏
11-02 1857
所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。密码是最常见的认证方法,但是不安全,容易泄露和冒充。越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。我的博客:CODE大全:www.codedq.net;业余草:www.xttblog.com;爱分享:www.ndislwf.co
使用扫码登录实现Windows双因素/双因子身份认证
全场景身份鉴别与统一管理提供商
07-04 1463
之前写过两篇关于Windows双因素/双因子身份认证的文章,一个是《Windows操作系统双因素认证解决方案》,主要介绍使用动态口令的方式做双因素认证安全登录加固,另一篇是《用指纹做Windows双因素身份认证,即安全又方便》,主要介绍使用指纹的方式做双因素认证安全登录,今天聊一聊如何使用扫码登录的方式做Windows双因素/双因子身份认证?闲话不多说,直接上干货!部署架构1、在Windows上安装CKEY&nbsp;AGENT插件,用于和服务端通讯以及实现Windows扫码登录效果;2、部署一台C
Linux下使用pam_python实现SSH的双因子认证登录
chenglanqi6606的博客
05-09 1310
引言 Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。 最初SA的防御手段一般是限制IP地...
CentOS 安装OTPW 一次性密码双因子认证
一粒米的博客
12-29 1206
optw 双因子认证1.安装otpw2.参数配置3.重启测试4.拓展用法 官方网站:https://www.cl.cam.ac.uk/~mgk25/otpw.html 软件下载:https://www.cl.cam.ac.uk/~mgk25/download 重要: 配置该软件涉及到一些安全策略,所以一定要关闭SELinux,否则配置后在输入密码时不会显示序列号,配置完后再开启SELinux也不会显示序列号,所以直接永久关闭。 # 查看SELinux状态 getenforce # 临时关闭SELinux
双因子认证
蓬篙人的专栏
04-10 4907
外部认证:卡验证终端,步骤:1)卡产生随机数发送给终端(此时终端和卡都有该随机数)2)外部终端发送外部认证命令,报文中包含对那些随机数的加密的密文3)卡片对随机数加密,验证两组密文是否相同达到认证目的。内部认证:终端认证卡片。  认证(authentication,鉴别、验证):是一方(如自然人或系统)向另一方声明自身的身份并被验证的过程。认证过程可以包含一种或多种认证机制。
什么是双因子认证
jjc4261的博客
05-24 996
PKI 架构由数字证书、证书机构(CA)、注册机构(RA)等组成,用于验证网上交易各方的身份。简单来说,PKI 架构的原理是利用非对称加密算法。每个用户都有一对公钥和私钥,公钥是公开的,而私钥存储在智能卡的芯片中,由 CA 保管。例如,当 A 想要向 B 发送加密信息时,A 会先向 CA 获取 B 的公钥,然后用它加密信息,再通过网络发送给 B。即使信息在传输过程中被截获,黑客也无法解密,因为只有 B 的私钥才能解开。这样既保证了信息的私密性,也验证了发送者的身份,确保了交易的不可否认性。
Jumpserver 堡垒机用户启用双因子登录
morsth的博客
03-20 1490
堡垒机往往是内部权限的集合体,拿到了堡垒机的用户账号密码,很容易就顺藤摸瓜攻破各种应用系统,除了常规的用户名复杂密码的要求外,我们常常都要求采用双因子登录方式。双因子最常见的就是账号密码+短信验证,复杂点就有账号密码+MFA工具。应该说Jumpserver是一套功能强大的堡垒机软件,开源免费版本对于一些日常的需求是足够的,大大降低了中小企业IT成本。
双因子身份认证如何保障 Windows 系统登录安全?
yuzijiang11111的博客
06-30 715
企业可借助身份目录即服务(Directory-as-a-Service, DaaS)将双因子认证(MFA)集成Windows系统,通过动态口令OTP等多种令牌形式,加固Windows登录安全。
双因素认证方案
weixin_33730836的博客
06-28 594
一、网络安全认证的需求背景网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业×××安全登录、IDC远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费...
如何实现基于 RADIUS 协议的双因子认证 MFA?
yuzijiang11111的博客
06-27 575
身份目录即服务(DaaS)可支持基于 RADIUS 协议的双因子认证(MFA)功能,帮助企业保障无线网络安全,用户可访问权限内所有资源,且不受平台、协议、厂商或位置的限制。
github如何登陆
最新发布
01-19
针对部分国家和地区可能存在的手机号码限制情况,GitHub引入了Microsoft Authenticator作为替代方案之一来进行多因子认证(MFA). 用户可以通过手机端安装该软件并扫描由GitHub提供的动态二维码完成绑定操作. 绑定成功...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清茶_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值