Java实现TOTP动态口令验证

最新推荐文章于 2024-04-28 15:09:41 发布
最新推荐文章于 2024-04-28 15:09:41 发布
阅读量1.8k 收藏 8
点赞数 1
分类专栏: JAVA 文章标签: TOTP Java 动态口令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netuser1937/article/details/120222197
版权

动态口令使用场景

  • 服务器登录动态口令验证
  • WEB应用密码登录二次验证
  • 银行转账动态口令
package org.totp.commons.util;

import org.apache.commons.codec.binary.Base32;
import org.apache.commons.lang3.RandomStringUtils;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.ByteBuffer;
import java.util.UUID;

public class TotpUtils {

    /** 时间步长,动态口令变化时间周期(单位秒) */
    private static final int TIME_STEP = 30;
    /** 动态口令默认长度 */
    private static final int CODE_DIGITS = 6;

    /**
     * 生成唯一密钥
     *
     * @return
     */
    public static String generateSecretKey() {
        // UUID + 4位随机字符生成唯一标识
        String uniqueId = UUID.randomUUID() + RandomStringUtils.randomAlphabetic(4);
        return new String(new Base32().encode(uniqueId.getBytes()));
    }

    /**
     * 生成一个基于TOTP标准身份验证器识别的字符串
     * 将该字符串生成二维码可供通用动态密码工具识别,例如:iOS应用(Authy)、微信小程序(二次验证码)
     *
     * @param user
     * @param secret
     * @return
     */
    public static String getQRCodeStr(String user, String secret) {
        String format = "otpauth://totp/%s?secret=%s";
        return String.format(format, user, secret);
    }

    /**
     * 生成动态口令
     *
     * @param secret
     * @return
     */
    public static String generateTOTP(String secret) {
        return TotpUtils.generateTOTP(secret, TotpUtils.getCurrentInterval(), CODE_DIGITS);
    }

    /**
     * 生成指定位数的动态口令
     *
     * @param secret
     * @param codeDigits
     * @return
     */
    public static String generateTOTP(String secret, int codeDigits) {
        return TotpUtils.generateTOTP(secret, TotpUtils.getCurrentInterval(), codeDigits);
    }

    /**
     * 验证动态口令
     *
     * @param secret
     * @param code
     * @return
     */
    public static boolean verify(String secret, String code) {
        return TotpUtils.verify(secret, code, CODE_DIGITS);
    }

    /**
     * 验证动态口令
     *
     * @param secret
     * @param code
     * @param codeDigits
     * @return
     */
    public static boolean verify(String secret, String code, int codeDigits) {
        long currentInterval = TotpUtils.getCurrentInterval();
        // 考虑到时间延时,需考虑前一个步长的动态密码是否匹配
        for (int i = 0; i <= 1; i++) {
            String tmpCode = TotpUtils.generateTOTP(secret, currentInterval - i, codeDigits);
            if (tmpCode.equals(code)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 获取动态口令剩余秒数
     * <p>
     * 所有口令是基于时间戳计算,因此任何动态口令的剩余有效时间都是一致的
     *
     * @return
     */
    public static int getRemainingSeconds() {
        return TIME_STEP - (int) (System.currentTimeMillis() / 1000 % TIME_STEP);
    }

    /**
     * 生成动态口令
     *
     * @param secret
     * @param currentInterval
     * @param codeDigits
     * @return
     */
    private static String generateTOTP(String secret, long currentInterval, int codeDigits) {
        if (codeDigits < 1 || codeDigits > 18) {
            throw new UnsupportedOperationException("不支持" + codeDigits + "位数的动态口令");
        }
        byte[] content = ByteBuffer.allocate(8).putLong(currentInterval).array();
        byte[] hash = TotpUtils.hmacsha(content, secret);
        // 获取hash最后一个字节的低4位,作为选择结果的开始下标偏移
        int offset = hash[hash.length - 1] & 0xf;
        // 获取4个字节组成一个整数,其中第一个字节最高位为符号位,不获取,使用0x7f
        int binary =
                ((hash[offset] & 0x7f) << 24) |
                        ((hash[offset + 1] & 0xff) << 16) |
                        ((hash[offset + 2] & 0xff) << 8) |
                        (hash[offset + 3] & 0xff);
        // 如果所需位数为6,则该值为1000000
        long digitsPower = Long.parseLong(TotpUtils.rightPadding("1", codeDigits + 1));
        // 获取当前数值后的指定位数
        long code = binary % digitsPower;
        // 将数字转成字符串,不够指定位前面补0
        return TotpUtils.leftPadding(Long.toString(code), codeDigits);
    }

    /**
     * 获取当前时间戳
     *
     * @return
     */
    private static long getCurrentInterval() {
        return System.currentTimeMillis() / 1000 / TIME_STEP;
    }

    /**
     * 向左补足0
     *
     * @param value
     * @param length
     * @return
     */
    private static String leftPadding(String value, int length) {
        while (value.length() < length) {
            value = "0" + value;
        }
        return value;
    }

    /**
     * 向右补足0
     *
     * @param value
     * @param length
     * @return
     */
    private static String rightPadding(String value, int length) {
        while (value.length() < length) {
            value = value + "0";
        }
        return value;
    }

    /**
     * 使用HmacSHA1加密
     *
     * @param content
     * @param key
     * @return
     */
    private static byte[] hmacsha(byte[] content, String key) {
        try {
            byte[] byteKey = new Base32().decode(key);
            Mac hmac = Mac.getInstance("HmacSHA1");
            SecretKeySpec keySpec = new SecretKeySpec(byteKey, "HmacSHA1");
            hmac.init(keySpec);
            return hmac.doFinal(content);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }

相思比梦长
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态密码 java_动态密码TOTPJava实现
weixin_35949256的博客
02-19 1080
一、HOTPHOTP 算法,全称是“An HMAC-Based One-Time Password Algorithm”,是一种基于事件计数的一次性密码生成算法,详细的算法介绍可以查看 RFC 4226。其实算法本身非常简单,算法本身可以用两条简短的表达式描述:HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))PWD(K,C,digit) = HOTP(K,C) mod 1...
Java利用TOTP算法动态生成一次性密码
netuser1937的博客
09-10 3240
一、HOTP   HOTP 算法,全称是“An HMAC-Based One-Time Password Algorithm”,是一种基于事件计数的一次性密码生成算法,详细的算法介绍可以查看 RFC 4226。其实算法本身非常简单,算法本身可以用两条简短的表达式描述: HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)) PWD(K,C,digit) = HOTP(K,C) mod 10^Digit 二、TOTP   TOTP 算法,全称是 TOTP: Time-Based
TOTP算法全解析:一次性密码的生成与应用
最新发布
随手糊墙上的技术笔记
04-28 697
本文以"TOTP算法全解析:一次性密码的生成与应用"为题,详细介绍了TOTP时间密码算法的工作原理、实现方法和应用场景。文章从TOTP算法的基本工作流程开始,解释了密钥共享、时间同步、时间步长和密码生成等关键步骤。接着,文章探讨了TOTP算法的具体实现,包括HMAC算法、哈希函数选择、密码计算和编码转换。此外,文章还介绍了TOTP在多因素认证、银行服务、VPN连接和智能卡等领域的应用。通过这些内容,文章旨在帮助读者深入理解TOTP算法,并在实际应用中有效利用这一技术以增强安全性。
【TOTP】基于时间的动态密码及其工程实践
ATFWUS的博客
12-07 2734
探究了常见的动态密码的实现方式及其底层原理,并基于java做出了工程实践。
关于Google身份验证器、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7484
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
totp-me:Java ME的TOTP身份验证器-开源
05-13
不仅是用于Java启用电话的两步验证的Google身份验证器。 这是RFC 6238身份验证器的MIDlet-1.0实现-TOTP:基于时间的一次性密码算法。 它快速,简单,并且支持多个配置文件。
探索 Java TOTP:安全认证的新维度
gitblog_00070的博客
04-26 461
探索 Java TOTP:安全认证的新维度 项目地址:https://gitcode.com/samdjstevens/java-totp 项目简介 Java TOTP 是一个由 SamDJStevens 开发的开源项目,它实现了时间-一次口令(Time-Based One-Time Password, TOTP)算法,为用户提供了一种强大且安全的身份验证方式。TOTP 是一种广泛使用的两因素认证...
java动态口令登录实现过程详解
08-25
Java 动态口令登录实现过程详解 Java 动态口令登录实现过程是指通过 Java 语言实现动态口令登录的过程。动态口令登录是一种安全的身份验证方式,通过生成一个动态口令验证用户的身份。在这个过程中,客户端需要...
java版本totp时钟动态离线密码源码demo
12-27
这是一个java版本的基于时钟的动态离线密码算法,简称TOTP,源码及demo,很小,极易使用,初学者易上手。
java使用google身份验证实现动态口令验证的示例
08-29
"java 使用 Google 身份验证实现动态口令验证的示例" 本篇文章主要介绍了使用 Java 语言实现 Google 身份验证器来实现动态口令验证的示例代码。Google 身份验证器是一种基于时间的单次密码(TOTP)算法,能够生成...
HOTP和TOTP动态密码JAVA示例源码.zip
04-13
示例基于Android平台, JAVA通用. HOTP和TOTP动态密码Android示例源码 可用于做动态数字密码相关, 如:密码门禁等
Java使用OTP动态口令(每分钟变一次)进行登录认证
08-25
主要介绍了Java使用OTP动态口令(每分钟变一次)进行登录认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
国密动态令牌java实现(SM3/SM4 OTP
洋仔专栏
03-04 1249
国密动态口令java实现(SM3/SM4 OTP
JAVA-基于RFC6238的TOTP算法的简单实现
莫兮的博客
07-04 1440
复制粘贴即可使用,如有需要,即可修改两个地方: main里的seed; poststring; 改以上两处,即可基于时间生成30秒一变的10位数码。 import java.io.UnsupportedEncodingException; import java.lang.reflect.UndeclaredThrowableException; import java.security.GeneralSecurityException; import java.text.DateFormat.
java 动态密码错误_什么是OTPJava一次动态密码、付款码原理
weixin_34515601的博客
02-24 1319
1. 什么是OTP一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。12. OTP原理动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码,OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设置密码有效时间,从30秒到两分钟不等...
java 生成二维码 qr
a704397849的博客
10-31 235
java 生成二维码
OTP动态口令Java实现
u010786200的博客
08-01 8106
最近项目需要在应用中在登录时增加otp动态口令,作为二次密码的验证,原谅本人的孤陋寡闻居然是初次听说这技术,然后各种在网上查相关资料,发现想研究透此中算法时间太紧迫。鉴于此本人就不细说这个技术原理了(至今没有太搞明白),网上有各种版本的本人只是整理了一下,纯属投机取巧望大拿勿喷。 第一步、首先我们先在手机应用商店下载FreeOTP(搜索不到找度娘)安装。 第二步、上工具...
简述OTP动态口令及其实现
shuoGG的专栏
06-06 2832
背景 最近用到了OTP, 遂mark一下 OTP 动态口令验证可以看作是服务端和客户端之间通过约定相同的算法来实现验证功能, 也即你在客户端看到的动态口令是客户端通过算法生成的无需请求服务端获取 TOTP 平时用的google动态口令用的就是TOTP(Time-based One-Time Password), TOTP基于HOTP, 所以弄懂TOTP即可 原理: 假设用的是30秒间隔的六位口令, 精简版伪代码: // secret为密码, timestamp为时间戳, 返回口令 GetOTPC
动态生成google 身份验证码(口令)
kzcming的博客
01-08 5805
依赖 <!-- 谷歌验证码 --> <dependency> <groupId>com.warrenstrange</groupId> <artifactId>googleauth</artifactId> <version>1.2.0</version> </dep...
Java实现动态口令认证
05-05
动态口令认证是一种基于时间同步技术的认证方式,常用于网络身份认证、支付等场景。在Java中,我们可以通过以下步骤实现动态口令认证: 1. 获取当前时间 使用Java中的System.currentTimeMillis()方法获取当前时间戳,单位为毫秒。 2. 生成随机密钥 使用Java中的SecureRandom类生成一个随机密钥,长度为6-8位。 3. 计算动态口令 将当前时间戳除以一个固定的时间间隔(通常为30秒或60秒),得到的结果称为时间步长。使用Java中的HMAC-SHA1算法,将时间步长与随机密钥进行哈希运算,得到一个20字节的哈希值。根据RFC4226标准,从哈希值中取出4个字节作为动态口令。 4. 验证动态口令 在服务端,使用相同的算法和密钥生成动态口令,与用户输入的口令进行比较。如果相同,则认证通过。 下面是一个简单的Java代码示例: ```java import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.security.InvalidKeyException; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; public class TOTP { // 时间步长,单位为秒 private static final int TIME_STEP = 30; // 动态口令长度 private static final int TOKEN_LENGTH = 6; // 哈希算法 private static final String HASH_ALGORITHM = "HmacSHA1"; // 随机密钥长度 private static final int SECRET_LENGTH = 8; public static void main(String[] args) { // 生成随机密钥 byte[] secret = new byte[SECRET_LENGTH]; SecureRandom random = new SecureRandom(); random.nextBytes(secret); // 获取当前时间戳 long timestamp = System.currentTimeMillis() / 1000; // 计算时间步长 long timeStep = timestamp / TIME_STEP; // 计算哈希值 byte[] hash = hmacSha1(secret, longToBytes(timeStep)); // 取出动态口令 int offset = hash[hash.length - 1] & 0xf; int token = ((hash[offset] & 0x7f) << 24) | ((hash[offset + 1] & 0xff) << 16) | ((hash[offset + 2] & 0xff) << 8) | (hash[offset + 3] & 0xff); token %= Math.pow(10, TOKEN_LENGTH); System.out.println("动态口令:" + String.format("%06d", token)); } /** * HMAC-SHA1算法 */ private static byte[] hmacSha1(byte[] key, byte[] data) { try { Mac mac = Mac.getInstance(HASH_ALGORITHM); SecretKeySpec secret = new SecretKeySpec(key, HASH_ALGORITHM); mac.init(secret); return mac.doFinal(data); } catch (NoSuchAlgorithmException | InvalidKeyException e) { throw new RuntimeException("HMAC-SHA1算法失败", e); } } /** * 将long类型转换为byte数组 */ private static byte[] longToBytes(long value) { byte[] bytes = new byte[8]; for (int i = 7; i >= 0; i--) { bytes[i] = (byte) (value & 0xff); value >>= 8; } return bytes; } } ``` 在实际应用中,我们需要将随机密钥保存在服务端,每次认证时从数据库中获取,并与用户输入的口令进行比较。同时,由于时间同步存在延迟和误差,我们需要允许一定的时间差来允许用户的动态口令通过认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值