【2FA】双重身份验证

最新推荐文章于 2024-07-18 20:13:39 发布
最新推荐文章于 2024-07-18 20:13:39 发布
阅读量793 收藏 6
点赞数 23
文章标签: java spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45722630/article/details/140095249
版权

双重身份验证(Two-Factor Authentication,简称2FA)是一种安全措施,旨在通过要求用户提供两种不同类型的身份验证信息来增强账户访问的安全性。这通常包括用户知道的东西(知识因素)和用户拥有的东西( possession factor),或者用户本身的特征( inherence factor)。双重认证结合了两个不同类别的验证,即使攻击者获取到了其中一个因素,也很难同时获取另一个因素,从而大大降低了账户被盗用的风险。

用户输入用户名和密码(第一重验证)。
系统要求用户通过第二种验证方式提供额外的信息或响应,如输入从手机收到的验证码、生成的动态口令或进行生物特征扫描。
一旦两个验证步骤都成功完成,用户才能被授权访问系统或服务。

这里采用的是应用生成的验证码(Authenticator App):如Google Authenticator、Microsoft Authenticator等应用生成基于时间或计数器的一次性密码(TOTP)。

基于时间的一次性密码(TOTP)

  • TOTP是一种动态密码生成算法,它依赖于当前时间来产生一次性有效的密码。其工作原理如下:

    时间步长:系统使用一个固定的时间间隔(通常是30秒)作为时间步长,每个时间步长内生成一个唯一的密码。
    密钥:用户和服务之间共享一个秘密密钥(Secret Key),这个密钥在初始化时通过安全的方式分发,比如通过扫描二维码。
    哈希算法:使用如HMAC-SHA-1、SHA-256等加密哈希算法,结合当前时间戳和共享密钥计算出一个哈希值,然后取哈希值的一部分转换成易于用户输入的形式,通常是一个6位数字。
    时间同步:客户端(如手机上的身份验证应用)和服务端都需要保持大致相同的时间,以确保在正确的时间步内验证密码。
    基于计数器的一次性密码(COTP)
    COTP与TOTP相似,但不是基于时间而是基于递增的计数器(Counter)来生成密码。其特点包括:

  • 计数器:每次生成新密码时,客户端和服务端的计数器都会递增。计数器的初始值 和步长在初始化时协商确定。
    密钥与哈希:同样使用共享密钥和哈希算法,不过这次是结合当前计数器的值而非时间戳来计算哈希。
    同步问题:相比TOTP,COTP对时间同步的要求较低,但在计数器不同步的情况下(例如,如果客户端长时间离线后再上线),需要有机制处理计数器的重新同步问题。

使用

1. 注册Config

import dev.samstevens.totp.code.CodeVerifier;
import dev.samstevens.totp.code.DefaultCodeGenerator;
import dev.samstevens.totp.code.DefaultCodeVerifier;
import dev.samstevens.totp.code.HashingAlgorithm;
import dev.samstevens.totp.qr.QrDataFactory;
import dev.samstevens.totp.qr.QrGenerator;
import dev.samstevens.totp.qr.ZxingPngQrGenerator;
import dev.samstevens.totp.secret.DefaultSecretGenerator;
import dev.samstevens.totp.secret.SecretGenerator;
import dev.samstevens.totp.time.SystemTimeProvider;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class TwoFAConfig {

    @Bean
    public SecretGenerator secretGenerator() {
        return new DefaultSecretGenerator();
    }

    @Bean
    public QrDataFactory qrDataFactory() {
        return new QrDataFactory(HashingAlgorithm.SHA1, 6, 30);
    }

    @Bean
    public QrGenerator qrGenerator() {
        return new ZxingPngQrGenerator();
    }

    @Bean
    public CodeVerifier codeVerifier() {
        return new DefaultCodeVerifier(new DefaultCodeGenerator(HashingAlgorithm.SHA1, 6), new SystemTimeProvider());
    }
}

2. Service

  • setupDevice()用于生成QR码和密钥,完成和Microsoft Authenticator客户端的初始绑定。
  • codeVerifier.isValidCode(secret, code) 验证提供的code和真实的密码是否一致。
import dev.samstevens.totp.code.CodeVerifier;
import dev.samstevens.totp.exceptions.QrGenerationException;
import dev.samstevens.totp.qr.QrData;
import dev.samstevens.totp.qr.QrDataFactory;
import dev.samstevens.totp.qr.QrGenerator;
import im.gy.zfile.core.exception.LoginVerifyException;
import im.gy.zfile.module.config.model.dto.SystemConfigDTO;
import im.gy.zfile.module.config.service.SystemConfigService;
import im.gy.zfile.module.login.model.enums.LoginVerifyModeEnum;
import im.gy.zfile.module.login.model.request.VerifyLoginTwoFactorAuthenticatorRequest;
import im.gy.zfile.module.login.model.result.LoginTwoFactorAuthenticatorResult;
import javax.annotation.Resource;
import org.springframework.stereotype.Service;
import dev.samstevens.totp.secret.SecretGenerator;

import static dev.samstevens.totp.util.Utils.getDataUriForImage;

/**
 * 2FA 双因素认证 Service
 */
@Service
public class TwoFactorAuthenticatorVerifyService {

    @Resource
    private SecretGenerator secretGenerator;

    @Resource
    private QrDataFactory qrDataFactory;

    @Resource
    private QrGenerator qrGenerator;

    @Resource
    private CodeVerifier codeVerifier;

    @Resource
    private SystemConfigService systemConfigService;

    /**
     * 生成2FA 双因素认证二维码和密钥
     * @return
     * @throws QrGenerationException
     */
    public LoginTwoFactorAuthenticatorResult setupDevice() throws QrGenerationException {
        // 生成的2FA密钥
        String secret = secretGenerator.generate();
        QrData data = qrDataFactory.newBuilder().secret(secret).issuer("ZFile").build();

        // 密钥转base64图像字符串
        String qrCodeImg = getDataUriForImage(
                qrGenerator.generate(data),
                qrGenerator.getImageMimeType()
        );
        return new LoginTwoFactorAuthenticatorResult(qrCodeImg, secret);
    }

    /**
     * 验证 2FA 双因素是否正确。正确则进行绑定
     * @param verifyLoginTwoFactorAuthenticatorRequest
     */
    public void deviceVerify(VerifyLoginTwoFactorAuthenticatorRequest verifyLoginTwoFactorAuthenticatorRequest) {
        String code = verifyLoginTwoFactorAuthenticatorRequest.getCode();
        String secret = verifyLoginTwoFactorAuthenticatorRequest.getSecret();
        if (codeVerifier.isValidCode(secret, code)) {
            SystemConfigDTO systemConfig = systemConfigService.getSystemConfig();
            systemConfig.setLoginVerifyMode(LoginVerifyModeEnum.TWO_FACTOR_AUTHENTICATION_MODE);
            systemConfig.setLoginVerifySecret(secret);
            systemConfigService.updateSystemConfig(systemConfig);
        } else {
            throw new LoginVerifyException("验证码错误");
        }
    }

    public void checkCode(String loginVerifySecret, String verifyCode) {
        if (!codeVerifier.isValidCode(loginVerifySecret, verifyCode)) {
            throw new LoginVerifyException("验证码错误或已经失效");
        }
    }
}
CRE_MO
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
GitHub 开启 2FA 双重身份验证的方法
Nicky's blog
08-20 2953
使用邮箱翻译插件,进行翻译,哦,原来是要我进行2FA注册,如果不注册,GitHub的访问将收到限制,所以还是得注册一下。查看官方文档,发现有两种方式,一直是通过TOTP移动应用程序,一种是通过短信
【GitHub】2FA认证(双重身份验证
定期分享我的发现和想法,感谢你的陪伴和支持
04-24 7237
基于时间的一次性密码 (TOTP) 应用程序会自动生成身份验证代码,该代码在一段时间后会更改。这些应用程序可以下载到您的手机或桌面上。我们建议使用基于云的 TOTP 应用程序。GitHub 在 TOTP 应用程序方面与应用程序无关,因此您可以自由选择您喜欢的任何 TOTP 应用程序。只需在浏览器中搜索即可找到各种选项。您还可以通过添加关键字来优化搜索,例如或以匹配您的偏好。提示:要在多个设备上通过 TOTP 配置身份验证,在设置过程中,请同时使用每个设备扫描二维码或保存“设置密钥”,即 TOTP 密钥。
双因素认证(2FA
易之阴阳,量子纠缠,道之一体,缘起性空
04-21 384
双因素认证(Two-Factor Authentication, 2FA)是一种增强的安全验证机制,旨在通过要求用户提供两种不同类型的凭证来确认其身份,从而提高账户或系统访问的安全性。- 用户通过拥有型因素(如打开身份验证应用获取OTP,查看接收到的短信验证码,或使用硬件令牌生成密码)或生物特征因素(如扫描指纹、进行面部识别)提供第二重凭证。- 硬件令牌:如RSA SecurID、YubiKey等专用硬件设备,能够生成动态的一次性密码(One-Time Password, OTP)。
【送书活动四期】被GitHub 要求强制开启 2FA 双重身份验证,我该怎么办?
鄙人kunzhi96,感恩遇见!
12-08 6914
为了提高软件供应链的整体安全性,GitHub 重磅宣布,在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证2FA),否则将无法正常使用该平台。
GitHub要求2FA双重身份验证?没有废话,直接开始
m0_63288666的博客
08-31 529
不要说废话,网上教程开头先给你介绍一堆,干嘛啊
SpringBoot登录】设置图片验证及2FA双重身份验证两种方式
Infinity的博客
06-27 345
【代码】【SpringBoot登录】设置图片验证及2FA双重身份验证两种方式。
JavaSE》---6.<基础语法(Java三大程序控制结构)>
m0_73456341的博客
07-14 807
本篇博客主要讲解Java基础语法中的三大结构,一种顺序结构、两大分支结构i(if-else、swich-case)、四大循环结构(while、do while、fot、foreach)
Spring Security 授权
persistence_PSH的博客
07-14 874
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 999
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
day04:Redis和店铺营业状态设置
m0_69266818的博客
07-15 814
介绍了Redis命令和用java操作redis还有营业额状态接口的书写
接口防刷!利用redisson快速实现自定义限流注解
最新发布
架构师小吴的博客
07-18 803
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
Java算法】前缀和 下
2302_79806056的博客
07-18 668
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
JAVA】相关程序组件
qq_44077764的博客
07-15 144
JAVA】相关程序组件
maven项目容器化运行之1-基于1Panel软件将docker镜像构建能力分享给局域网
qq_37372909的博客
07-15 504
docker核心功能包括镜像的构建和容器的运行,它可以开放端口将镜像构建的能力暴露。docker daeson就是docker的守护进程,开放能力是通过指定docker守护进程监听端口来实现的。后面开发人员就可以通过maven中docker插件来远程调用docker镜像构建能力了。
深入剖析 JavaSpring Bean 的生命周期
weixin_42545951的博客
07-12 696
Java 开发中,Spring 框架是广泛使用的企业级应用开发框架。理解 Spring Bean 的生命周期对于开发者来说至关重要,这也是面试中经常会被问到的重要知识点。
从零手写实现 nginx-27-return 指令
07-14 664
大家好,我是老马。很高兴遇到你。我们为 java 开发者实现了 java 版本的 nginx如果你想知道 servlet 如何处理的,可以参考我的另一个项目:手写从零实现简易版 tomcatminicat。
Java实验2
qq_64727229的博客
07-16 510
类的封装、继承、多态和接口(1)有理数四则运算(2)最终得分
Java:ThreadPoolExecutor线程池知识体系
彭世瑜的博客
07-15 409
ThreadPoolExecutor的构造方法。固定大小线程数的线程池。
《简历宝典》15 - 简历中“项目经历”,实战讲解,Java
xingyu_qie的专栏
07-18 142
校招和初级Java开发的项目经历重点是突出自己在实战中的学习。比如对数据库的操作,比如前后端联调工作中遇到问题的解决,比如一些Java基础知识点的逐渐深入掌握,这些都是这个阶段的Java开发需要去不断增强的。和初级前端开发类似,例如你作为一名初级Java开发,负责的是校园图书管理系统的图书信息上传,图书信息管理这个模块的服务端开发,项目经历可以这样编写,如图。
github 双重身份验证
09-01
GitHub 提供了双重身份验证(Two-Factor Authentication2FA)来增加账的安全性。使用双重身份验证,除了输入密码外,您还需要提供另外一种身份验证方式来登录您的 GitHub 账户。 以下是设置 GitHub 双重身份验证的步骤: 1. 登录您的 GitHub 账户。 2. 点击右上角头像,选择 "Settings"。 3. 在左侧菜单中选择 "Security"。 4. 在 "Security" 页面下,找到 "Two-factor authentication" 部分。 5. 点击 "Enable" 开始设置双重身份验证。 6. 您可以选择通过短信接收验证码或使用支持身份验证器应用的手机来进行验证。选择其中一种方式并按照相应的步骤进行操作。 7. 设置完成后,您将需要在每次登录时提供生成的验证码或通过短信接收的验证码,除了输入密码之外。 使用双重身份验证可以有效保护您的 GitHub 账户免受未经授权的访问。请确保妥善保存您的手机或身份验证应用,并定期备份以防止丢失访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CRE_MO

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值