谷歌二步身份验证

已于 2022-12-08 13:40:56 修改
阅读量2.9k 收藏 3
点赞数 2
分类专栏: JAVA 文章标签: java spring boot spring
于 2022-11-18 10:41:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44245107/article/details/127915905
版权

谷歌二步身份验证

文章目录

前言

现在随处登录都需要填写验证码或者点击相关字符等等模式,此文根据大佬的灵感,结合springboot完成谷歌二次身份验证。此处大佬地址

一、谷歌二次身份验证是什么?

在这里插入图片描述此图来源
谷歌二次身份验证的目的是什么想必大家都清楚,此app类似于steam令牌、企鹅令牌等等,在输入密码登录中的时候,拉取接口完成验证码的校验。

二、使用步骤

1.maven依赖(若不想后台直接生成二维码可不导)

        <!-- 二维码依赖 -->
        <dependency>
            <groupId>org.iherus</groupId>
            <artifactId>qrext4j</artifactId>
            <version>${qrext4j.version}</version>
        </dependency>

2.工具类代码

工具类:GoogleAuthenticator 提供了生成谷歌秘钥key、校验验证码的功能。

代码如下:

import org.apache.commons.codec.binary.Base32;
import org.apache.commons.codec.binary.Base64;
import org.apache.commons.codec.binary.Hex;
import org.springframework.util.StringUtils;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;

/**
 * 谷歌身份验证器工具类
 */
public class GoogleAuthenticator {

    /**
     * 时间前后偏移量
     * 用于防止客户端时间不精确导致生成的TOTP与服务器端的TOTP一直不一致
     * 如果为0,当前时间为 10:10:15
     * 则表明在 10:10:00-10:10:30 之间生成的TOTP 能校验通过
     * 如果为1,则表明在
     * 10:09:30-10:10:00
     * 10:10:00-10:10:30
     * 10:10:30-10:11:00 之间生成的TOTP 能校验通过
     * 以此类推
     */
    private static int WINDOW_SIZE = 0;

    /**
     * 加密方式,HmacSHA1、HmacSHA256、HmacSHA512
     */
    private static final String CRYPTO = "HmacSHA1";

    /**
     * 生成密钥,每个用户独享一份密钥
     *
     * @return
     */
    public static String getSecretKey() {
        SecureRandom random = new SecureRandom();
        /*密钥太长不容易输入*/
//        byte[] bytes = new byte[20];
        /*密钥太短不符合gooleAPP*/
//        byte[] bytes = new byte[5];
		/*生成16位秘钥*/
        byte[] bytes = new byte[10];
        random.nextBytes(bytes);
        Base32 base32 = new Base32();
        String secretKey = base32.encodeToString(bytes);
        // make the secret key more human-readable by lower-casing and
        // inserting spaces between each group of 4 characters
        return secretKey.toUpperCase();
    }

    /**
     * 生成二维码内容
     *
     * @param secretKey 密钥
     * @param account   账户名
     * @param issuer    网站地址(可不写)
     * @return
     */
    public static String getQrCodeText(String secretKey, String account, String issuer) {
        String normalizedBase32Key = secretKey.replace(" ", "").toUpperCase();
        try {
            String s = "otpauth://totp/"
                    + URLEncoder.encode((!StringUtils.isEmpty(issuer) ? (issuer + ":") : "") + account, "UTF-8").replace("+", "%20")
                    + "?secret=" + URLEncoder.encode(normalizedBase32Key, "UTF-8").replace("+", "%20")
                    + (!StringUtils.isEmpty(issuer) ? ("&issuer=" + URLEncoder.encode(issuer, "UTF-8").replace("+", "%20")) : "");
            System.out.println(s);
            return "otpauth://totp/"
                    + URLEncoder.encode((!StringUtils.isEmpty(issuer) ? (issuer + ":") : "") + account, "UTF-8").replace("+", "%20")
                    + "?secret=" + URLEncoder.encode(normalizedBase32Key, "UTF-8").replace("+", "%20")
                    + (!StringUtils.isEmpty(issuer) ? ("&issuer=" + URLEncoder.encode(issuer, "UTF-8").replace("+", "%20")) : "");
        } catch (UnsupportedEncodingException e) {
            throw new IllegalStateException(e);
        }
    }

    /**
     * 获取验证码
     *
     * @param secretKey
     * @return
     */
    public static String getCode(String secretKey) {
        String normalizedBase32Key = secretKey.replace(" ", "").toUpperCase();
        Base32 base32 = new Base32();
        byte[] bytes = base32.decode(normalizedBase32Key);
        String hexKey = Hex.encodeHexString(bytes);
        long time = (System.currentTimeMillis() / 1000) / 30;
        String hexTime = Long.toHexString(time);
        return TOTP.generateTOTP(hexKey, hexTime, "6", CRYPTO);
    }

    /**
     * 检验 code 是否正确
     *
     * @param secret 密钥
     * @param code   code
     * @param time   时间戳
     * @return
     */
    public static boolean checkCode(String secret, long code, long time) {
        Base32 codec = new Base32();
        byte[] decodedKey = codec.decode(secret);
        // convert unix msec time into a 30 second "window"
        // this is per the TOTP spec (see the RFC for details)
        long t = (time / 1000L) / 30L;
        // Window is used to check codes generated in the near past.
        // You can use this value to tune how far you're willing to go.
        long hash;
        for (int i = -WINDOW_SIZE; i <= WINDOW_SIZE; ++i) {
            try {
                hash = verifyCode(decodedKey, t + i);
            } catch (Exception e) {
                // Yes, this is bad form - but
                // the exceptions thrown would be rare and a static
                // configuration problem
                // e.printStackTrace();
                throw new RuntimeException(e.getMessage());
            }
            if (hash == code) {
                return true;
            }
        }
        return false;
    }

    /**
     * 根据时间偏移量计算
     *
     * @param key
     * @param t
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     */
    private static long verifyCode(byte[] key, long t) throws NoSuchAlgorithmException, InvalidKeyException {
        byte[] data = new byte[8];
        long value = t;
        for (int i = 8; i-- > 0; value >>>= 8) {
            data[i] = (byte) value;
        }
        SecretKeySpec signKey = new SecretKeySpec(key, CRYPTO);
        Mac mac = Mac.getInstance(CRYPTO);
        mac.init(signKey);
        byte[] hash = mac.doFinal(data);
        int offset = hash[20 - 1] & 0xF;
        // We're using a long because Java hasn't got unsigned int.
        long truncatedHash = 0;
        for (int i = 0; i < 4; ++i) {
            truncatedHash <<= 8;
            // We are dealing with signed bytes:
            // we just keep the first byte.
            truncatedHash |= (hash[offset + i] & 0xFF);
        }
        truncatedHash &= 0x7FFFFFFF;
        truncatedHash %= 1000000;
        return truncatedHash;
    } 
}

工具类:TOTP 验证码生成工具类

代码如下:

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.lang.reflect.UndeclaredThrowableException;
import java.math.BigInteger;
import java.security.GeneralSecurityException;

/**
 * 验证码生成工具类
 */
public class TOTP {

    // 0 1 2 3 4 5 6 7 8
    private static final int[] DIGITS_POWER = {1, 10, 100, 1000, 10000, 100000, 1000000, 10000000, 100000000};

    /**
     * This method uses the JCE to provide the crypto algorithm. HMAC computes a
     * Hashed Message Authentication Code with the crypto hash algorithm as a
     * parameter.
     *
     * @param crypto   : the crypto algorithm (HmacSHA1, HmacSHA256, HmacSHA512)
     * @param keyBytes : the bytes to use for the HMAC key
     * @param text     : the message or text to be authenticated
     */
    private static byte[] hmac_sha(String crypto, byte[] keyBytes, byte[] text) {
        try {
            Mac hmac;
            hmac = Mac.getInstance(crypto);
            SecretKeySpec macKey = new SecretKeySpec(keyBytes, "RAW");
            hmac.init(macKey);
            return hmac.doFinal(text);
        } catch (GeneralSecurityException gse) {
            throw new UndeclaredThrowableException(gse);
        }
    }

    /**
     * This method converts a HEX string to Byte[]
     *
     * @param hex : the HEX string
     * @return: a byte array
     */
    private static byte[] hexStr2Bytes(String hex) {
        // Adding one byte to get the right conversion
        // Values starting with "0" can be converted
        byte[] bArray = new BigInteger("10" + hex, 16).toByteArray();

        // Copy all the REAL bytes, not the "first"
        byte[] ret = new byte[bArray.length - 1];
        System.arraycopy(bArray, 1, ret, 0, ret.length);
        return ret;
    }

    /**
     * This method generates a TOTP value for the given set of parameters.
     *
     * @param key          : the shared secret, HEX encoded
     * @param time         : a value that reflects a time
     * @param returnDigits : number of digits to return
     * @param crypto       : the crypto function to use
     * @return: a numeric String in base 10 that includes
     */
    public static String generateTOTP(String key, String time, String returnDigits, String crypto) {
        int codeDigits = Integer.decode(returnDigits);
        String result = null;

        // Using the counter
        // First 8 bytes are for the movingFactor
        // Compliant with base RFC 4226 (HOTP)
        while (time.length() < 16) {
            time = "0" + time;
        }

        // Get the HEX in a Byte[]
        byte[] msg = hexStr2Bytes(time);
        byte[] k = hexStr2Bytes(key);
        byte[] hash = hmac_sha(crypto, k, msg);

        // put selected bytes into result int
        int offset = hash[hash.length - 1] & 0xf;

        int binary = ((hash[offset] & 0x7f) << 24)
                | ((hash[offset + 1] & 0xff) << 16)
                | ((hash[offset + 2] & 0xff) << 8) | (hash[offset + 3] & 0xff);

        int otp = binary % DIGITS_POWER[codeDigits];

        result = Integer.toString(otp);
        while (result.length() < codeDigits) {
            result = "0" + result;
        }
        return result;
    }
}

三、业务逻辑

整体大致逻辑如图大致流程

  1. 密码正确后的是否需要二次验证校验

已经有了工具类和依赖包,现在开始着手业务逻辑了。因为公司系统已完善用户权限,也具有相应的库,所以我个人的操作就是直接查询数据库的权限表, 根据数据进行权限二次校验(需求为个别权限用户需要二次身份验证),此处“admin”可以理解为管理员,但是实际开发中建议用常亮隐藏代替。

// 判断是否需要二次校验
			List<Integer> userPermission = userRoleService.checkPermission(uaUserBean);
			// 判断角色权限
			if (!userPermission.contains(admin)) {
				// 角色权限不足,需要二次校验 则返回二维码内容
				String qrcode = UserService.getQrcode(uaUserBean);
				uafLoginRespVo.setQrcode(qrcode);
			}

以上代码只返回了二维码内容,生成策略和前端对齐后是由前端进行生成。若后端生成则要导入依赖,利用SimpleQrcodeGenerator方法进行生成,代码如下:

    /**
     * 生成二维码,APP直接扫描绑定,两种方式任选一种
     */
    @GetMapping("getQrcode")
    public void getQrcode(@RequestParam("name") String name, HttpServletResponse response) throws Exception {
        String key = GoogleAuthenticator.getSecretKey();
        // 生成二维码内容
        String qrCodeText = GoogleAuthenticator.getQrCodeText(key, name, "");
        // 生成二维码输出
        new SimpleQrcodeGenerator().generate(qrCodeText).toStream(response.getOutputStream());
    }
  1. 验证码校验
    验证码校验需要根据生成的key来获取,代码如下:
	@PostMapping("/checkCode")
	public BaseRespVo checkCode(@RequestBody LoginCode LoginCode) {
		 // 获取secretKey
        if (Objects.isNull(LoginCode.getUserId())) {
            throw new CheckException("参数id不能为空");
        }
        if (StringUtils.isBlank(uaLoginCode.getCode())){
            throw new CheckException("验证码不能为空");
        }
        String secretKey = UserDao.selectBySecretKey(LoginCode.getUserId());
        // 校验验证码
       boolean flag = GoogleAuthenticator.checkCode(secretKey, Long.parseLong(LoginCode.getCode()), System.currentTimeMillis());
		if (!flag){
			return ServerUtils.responseFail(ServerException.ERR_1013,"验证码错误,请重新输入",null);
		}else {
			return ServerUtils.responseSuccess();
		}
	}

总结

非常感谢前人的指导,没有大家的文章深度也就没有现在后人如此简单的学习和实践。

业界搬砖第n人
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
07-02
GoogleAuthenticator谷歌身份验证器官方最新安卓版.apk
什么是谷歌二次认证
key915的博客
06-23 3757
1.什么谷歌身份验证器 许网站都需要绑定用以对相关账号进行“二步验证”保护,也叫“双重身份验证”的谷歌身份验证器,以加强安全级别。 2.谷歌身份验证器有什么用 这东西就相当于银行的“电子动态口令”密码器:通过用户名与密码登录手机银行后,付款、转账时则要用到动态口令。不过银行的动态口令卡往往是个硬件实体,而谷歌身份验证器是个手机app 玩游戏的朋友也不陌生,许多网游需要二步验证:登录游戏后可以进行普通的游戏操作,但打开仓库、买卖道具时,就要用到它的专用的二步验证app,许多网站也要求绑定谷歌身份.
谷歌两步验证器身份怎么开Authenticator安卓app下载安装方法教程
u012362343的博客
05-06 1万+
国内互联网公司一般采取手机收验证码的方式对账号进行身份验证,增强账号的安全性。但是在国外通常采取使用谷歌两步身份验证器 (Google Authenticator),谷歌谷歌两步身份验证器的方便之处主要体现在: 1.在无网络的情况下也可以使用; 2.不需要电话卡收取短信验证码; 3.不受输出错误次数限制,无需等待60秒。 4.通过一个APP可以管理众多的账号。 当用户开启后登陆时除了输入账户和密码外还需要谷歌身份验证器里的每40秒更换一次的6位数字验...
google双重身份验证工具类
08-15
自从google出了双重身份验证后,就方便了大家,等同于有了google一个级别的安全,但是我们该怎么使用google authenticator (双重身份验证),这个是java的算法,这样大家可以根据得到的key得到公共的秘钥了,直接复制,记得导入JAR包
谷歌身份验证器(Google Authenticator)GA
01-13
简单学习下GA的生成算法,写了个小工具;当做学习记录 可以去哈勃看看: https://habo.qq.com/file/showdetail?md5=512eea7730feda2bc412df8dcfd061ef&pk=ADcGY11uB24IPls%2FU2o%3D
谷歌二次验证 Google Authenticator
qiuziqiqi的博客
06-06 1720
开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。核心就是生成二维码之后,主要就是secret串,用手机app扫一扫就添加到验证器上面了。下面是展示二维码的代码,用以进行绑定secret 串,如果绑定过就不再展示了。// 判断该用户是否已经存在google秘钥、没有重新生成。// Google验证码与秘钥进行匹配。// 获取google秘钥。// 将用户输入的验证码与秘钥进行匹配。// 判断该用户是否开启google验证
谷歌二次验证算法原理和代码实现
TonyNotes的博客
01-05 1366
自从用过谷歌(Google Authenticator)二次验证算法,我就充满了好奇感,同时觉得这种方式非常酷。一个纯离线的设备,就能生成用于网络验证验证码。这就可以让我们完全摆脱都某些东西的依赖。虽然这个算法是用于二次验证,但是我觉得用于一次验证也很酷啊。我已经讨厌透了手机验证码,完全受限于移动运营商。很多应用没法收验证码,懂的都懂。出于对这个算法的好奇,一直想要研究一下,终于抽空问了下GPT4。写个笔记!
快速接入Google两步认证Google Authenticator
热门推荐
(˶˚ ᗨ ˚˶)来康康我
08-14 2万+
(一)介绍 既然来看该文章就应该知道Google的两步认证是干什么的,这边再提供一次app的下载链接 (apkpure搜索谷歌身份验证器) 验证原理讲解: 在数据库中查找该登陆用户之前绑定的32位随机码(该码一般会存入数据库) 调用API传入32位随机码,生成正确的6位验证码(每隔1min会变化) 根据用户输入的6位验证码和正确的6位验证码做匹配,相同则登陆成功,不同则验证码时间失效或错误 用户绑定讲解: 调用API生成32位随机码,准备绑定给用户 调用API生成二维码QR字符串,需..
谷歌账户二次验证_为您的Google帐户和Microsoft帐户设置双重身份验证
cunfuteng7334的博客
10-09 4976
谷歌账户二次验证I use Two-Factor Authentication for my Google Apps account and I use the Google Authenticator application on my iPhone to generate the second factor. 我对我的Google Apps帐户使用了双重身份验证,并且在iPhone上使用了Go...
Google账户两步验证的工作原理【转】
awtqty_zhang的专栏
12-06 617
      最近在考虑一些用户登录验证的问题,现阶段在涉及到一些交易时,基本上都使用的是短信验证验证,但有朋友说,有些时候短信验证码会出现延时,不及时。于是就看了一下Google Authenticator(coogle账户两步验证)技术。如下是从一位网友那里转来的该技术的原理描述,做个标记,方便查找。 来源:http://blog.seetee.me/archives/73.html  ...
gitlab开启2FA双因子认证登录.Google的身份验证器软件google authenticator
04-28
gitlab开启二次验证后,需要安装如下任意一款软件,生成验证码,生成后,保存好恢复代码,预防卸载软件或更换手机后的繁琐... 1、FreeOTP 2、Google身份验证器 压缩包中存有两个身份验证器,可以任意选择使用
google身份验证器C语言接口
03-17
/** *@brief 根据16位密钥获取谷歌身份验证器实时验证码 *@return 实时验证码 *@warning 如果实时验证码不足6位数需要在开头自行补0 */ int GetGoogleAuthCode(const char* pGoogleAuthCode);
谷歌身份验证器插件,谷歌身份验证器插件,谷歌身份验证器插件,谷歌身份验证器插件谷歌身份验证器插件
11-29
谷歌浏览器令牌;谷歌浏览器身份验证器;解压即可使用,在谷歌浏览器中更多工具---->扩展程序中,选择加载已解压程序,选择刚刚解压的文件夹,即可加载成功
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 751
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 827
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1742
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1024
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
PageHelper实现分页查询
m0_63849044的博客
04-24 1064
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
C语言案例——输出 Fibonacci 数列(斐波那契数列)的前 40 项
悟道子HD
04-25 458
输出 Fibonacci 数列(斐波那契数列)的前 40 项 #include void main() { int a[40]= {1,1}; int i; printf( "%12d%12d",a[0],a[1]); for(i=2; i
Google 身份验证
06-07
Google 身份验证器是一款由 Google 公司开发的双因素认证应用程序。它基于时间的一次性密码算法(TOTP),可以生成一次性的验证码,用于登录时的身份验证。用户可以将其与自己的 Google 账号或其他支持 TOTP 的第三...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值