基于TOTP 实现多因素认证(MFA);集成Microsoft Authenticator Google Authenticator实现多因素认证

已于 2024-06-11 18:22:11 修改
阅读量1k 收藏 13
点赞数 12
文章标签: java microsoft
于 2024-06-07 19:01:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45890619/article/details/139531886
版权

一、介绍

  基于TOTP实现多因素认证,这其实就是登录时候的一个验证码,由于国内用的主流的是手机号短信验证,所以对这种方式了解的较少。目前github的登录验证集成了这种验证方式,可以上去把玩一下,更熟悉流程。

   使用流程: 比如github,找到github设置页面,绑定手机app验证这个东西,他会给你一个QR码,你使用Microsoft Authenticator 或者Google Authenticator这种app扫描QR码之后,输入app显示的验证码,进行github身份绑定。下次登陆时,除了输入账号密码外,还需要打开Microsoft Authenticator APP,找到该账号的6位验证码(30秒一刷新),输入到github网站即可验证登录成功。

   实现流程: 对于你的网站想要集成这个功能,你需要考虑这些:
    1. 生成QR码供用户扫描绑定
    2. 验证TOTP验证码是否正确
    3. 提供恢复渠道(当用户无法使用设备时, 通过输入恢复码即可登录)

  当然,对应的前端页面也要有,比如绑定页面,恢复码的展示页面,还要提供下载,让用户更方便保存。

二、实现

  这个东西主要就是:生成个密钥给Microsoft Authenticator APP ,他会根据密钥和当前的时间,来生成六位数的验证码,那么你肯定要将密钥保存好,在代码中根据相同的TOTP算法,也生成一个六位数的验证码。当用户查看app的验证码,输入后,能够和你生成的验证码匹配上,即验证通过,登录成功。
下面是实现代码,其实主要就是工具类,一个用于MFA所有相关的生成,一个是AES加密工具类,剩下的就是和你的业务相关,你可以自己设计。

  ①你可以使用getQrCode方法生成QR码给用户扫,同时将密钥和用户绑定在一起存入数据库;
  ②你可以使用verifyCode方法来验证用户输入的验证码是否正确(将数据库用户的密钥和用户输入的验证码当参数传入,ps:你数据库的密钥和Microsoft Authenticator APP上的密钥是一致的,因为扫QR码时候已经给你扫走了,所以能够验证 验证码的正确性)。
  ③你可以使用generateRecoverKey方法生成一组恢复码,给用户提供备用登录渠道。
  ④当然 这些密钥和恢复码等敏感的东西,都可以使用AesEncryptionUtil中的算法加密,(你可以使用generateEncryptionKey生成一个加密密钥和用户进行绑定)

  至于登录时候的逻辑去验证一下app的验证码或者数据库的恢复码就行。

1.引包:

<!-- ZXing Dependency -->
<dependency>
     <groupId>com.google.zxing</groupId>
     <artifactId>core</artifactId>
     <version>3.4.1</version>
 </dependency>
 <dependency>
     <groupId>com.google.zxing</groupId>
     <artifactId>javase</artifactId>
     <version>3.4.1</version>
 </dependency>

2.我的两个工具类(核心:‘生成QR码’和‘验证TOTP验证码’):

① MFA工具类

import com.google.zxing.BarcodeFormat;
import com.google.zxing.WriterException;
import com.google.zxing.client.j2se.MatrixToImageWriter;
import com.google.zxing.common.BitMatrix;
import com.google.zxing.qrcode.QRCodeWriter;
import com.ttap.framework.exception.BusinessException;
import org.apache.commons.codec.binary.Base32;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.io.ByteArrayOutputStream;
import java.net.URLEncoder;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.time.Instant;
import java.util.List;
import java.util.stream.Collectors;
import java.util.stream.IntStream;

public class MfaUtil {
    private static final String QR_TITLE = "APPLICATION NAME";
    private static final String CHARACTERS = "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz";
    private static final int TIME_STEP = 30; // 时间步长
    private static final int TOTP_LENGTH = 6; // TOTP密钥长度
    private static final int CODE_LENGTH = 5; 
    private static final int RECOVER_CODE_GROUP_LENGTH = 10;

    /**
     * 生成18位的TOTP密钥,需要放到QR码中
     *
     * @return length 18, example: IPJDUKPNDCTFVJ4DQJ
     */
    public static String generateSecretKey() {
        final int KEY_SIZE_BYTES = 20;
        byte[] bytes = new byte[KEY_SIZE_BYTES];
        SecureRandom random = new SecureRandom();
        random.nextBytes(bytes);
        Base32 base32 = new Base32();
        return base32.encodeToString(bytes).substring(0, 18);
    }

    /**
     * 生成加密密钥,用于对数据库的关键数据进行加密(TOTP验证码或恢复码)
     *
     * @return length 32, example: MDKA6Z76W7RC6QYUF3S26JSJ6VMEBAGD
     */
    public static String generateEncryptionKey() {
        final int KEY_SIZE_BYTES = 20;
        byte[] bytes = new byte[KEY_SIZE_BYTES];
        SecureRandom random = new SecureRandom();
        random.nextBytes(bytes);
        Base32 base32 = new Base32();
        return base32.encodeToString(bytes);
    }

    /**
     * 生成一组10个恢复码
     *
     * @return example: [q51cA-R041w, fg7Fs-R701a ...]
     */
    public static List<String> generateRecoverKeys() {
        return IntStream.range(0, RECOVER_CODE_GROUP_LENGTH)
                .mapToObj(i -> generateRecoverKey())
                .collect(Collectors.toList());
    }

    /**
     * 生成一个恢复码
     *
     * @return example: q51cA-R041w
     */
    private static String generateRecoverKey() {
        SecureRandom random = new SecureRandom();
        StringBuilder code = new StringBuilder(CODE_LENGTH * 2 + 1);
        for (int i = 0; i < CODE_LENGTH; i++) {
            code.append(CHARACTERS.charAt(random.nextInt(CHARACTERS.length())));
        }
        code.append("-");
        for (int i = 0; i < CODE_LENGTH; i++) {
            code.append(CHARACTERS.charAt(random.nextInt(CHARACTERS.length())));
        }
        return code.toString();
    }

    /**
     * 生成QR码,返回的base64,里面包含用户名和密钥信息
     *
     * @param loginName
     * @param secretKey
     * @return qr base64 code
     */
    public static String getQrCode(String loginName, String secretKey) {
        String base64Image = null;
        try {
            // 1.Generate QR code content
            String qrCodeText = getQrCodeText(secretKey, loginName, QR_TITLE);
            int width = 200;
            int height = 200;
            try {
                // Convert the URL to BitMatrix
                QRCodeWriter qrCodeWriter = new QRCodeWriter();
                BitMatrix bitMatrix = qrCodeWriter.encode(qrCodeText, BarcodeFormat.QR_CODE, width, height);

                // 2.Generate QR code image
                ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
                MatrixToImageWriter.writeToStream(bitMatrix, "png", outputStream);

                // 3.Gets the byte array of the image and converts it to a string using Base64 encoding
                byte[] imageData = outputStream.toByteArray();
                base64Image = java.util.Base64.getEncoder().encodeToString(imageData);
                return base64Image;
            } catch (WriterException e) {
                throw new BusinessException("Failed to generate QR code image.");
            } catch (Exception e) {
                throw new BusinessException("Unexpected error:" + e.getMessage());
            }
        } catch (BusinessException e) {
            throw new BusinessException("Abnormal QR code generation:{0}", e.getMessage());
        }
    }

    /**
     * 设置QR码中的信息:密钥、用户名等
     *
     * @param secretKey
     * @param account
     * @param issuer
     * @return
     */
    private static String getQrCodeText(String secretKey, String account, String issuer) {
        String normalizedBase32Key = secretKey.replace(" ", "").toUpperCase();
        String url = null;
        url = "otpauth://totp/"
                + URLEncoder.encode((!issuer.isEmpty() ? (issuer + ":") : "") + account, StandardCharsets.UTF_8).replace("+", "%20")
                + "?secret=" + URLEncoder.encode(normalizedBase32Key, StandardCharsets.UTF_8).replace("+", "%20")
                + (!issuer.isEmpty() ? ("&issuer=" + URLEncoder.encode(issuer, StandardCharsets.UTF_8).replace("+", "%20")) : "");
        return url;
    }

    /**
     * TOTP验证验证码是否正确,用处:用户登录时需要输入验证码进行验证。
     * 该验证码来自于APP,将该用户输入的验证码和该用户的TOTP密钥传入这个方法,就能知道用户输入的是否正确。
     *
     * @param secret  某个用户的TOTP密钥
     * @param code  该用户输入的验证码
     * @return
     */
    public static boolean verifyCode(String secret, String code) {
        long timeWindow = Instant.now().getEpochSecond() / TIME_STEP;
        Base32 base32 = new Base32();
        byte[] secretBytes = base32.decode(secret);
        try {
            Mac mac = Mac.getInstance("HmacSHA1");
            SecretKeySpec key = new SecretKeySpec(secretBytes, "HmacSHA1");
            mac.init(key);
            byte[] hash = mac.doFinal(longToBytes(timeWindow));

            int offset = hash[hash.length - 1] & 0xF;
            int binary = ((hash[offset] & 0x7F) << 24) | ((hash[offset + 1] & 0xFF) << 16) | ((hash[offset + 2] & 0xFF) << 8) | (hash[offset + 3] & 0xFF);
            int otp = binary % (int) Math.pow(10, TOTP_LENGTH);

            return otp == Integer.parseInt(code);
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            e.printStackTrace();
            return false;
        }
    }

    private static byte[] longToBytes(long value) {
        byte[] result = new byte[8];
        for (int i = 7; i >= 0; i--) {
            result[i] = (byte) (value & 0xFF);
            value >>= 8;
        }
        return result;
    }
}

②AES加密工具类:


import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class AesEncryptionUtil {

    public static String encryptAES(String data, String secret) {
        try {
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(), "AES");
            Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
            cipher.init(Cipher.ENCRYPT_MODE, secretKey);
            byte[] encryptedBytes = cipher.doFinal(data.getBytes());
            return Base64.getUrlEncoder().withoutPadding().encodeToString(encryptedBytes);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
    }

    public static String decryptAES(String encryptedData, String secret) {
        try {
            SecretKeySpec secretKey = new SecretKeySpec(secret.getBytes(), "AES");
            Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, secretKey);
            byte[] decryptedBytes = cipher.doFinal(Base64.getUrlDecoder().decode(encryptedData));
            return new String(decryptedBytes);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
    }
}

   3. 建表字段参考:
这个表和业务相关的,就是让你参考一下,可以自行设计,主要就是这些字段。

# 用户和totp密钥对应的表
CREATE TABLE user_mfa_secret (
  "id" int8 NOT NULL,
  "user_id" int8,
  "secret_key" varchar(100),     // TOTP密钥
  "refresh_secret_key" varchar(100),  // TOTP临时密钥。因为每次刷新QR码都需要有一个临时密钥,当用户确认绑定时将该临时密钥赋值到TOTP密钥字段。
  "is_enable" int4, // 用户是否启用TOTP的MFA验证
  "encryption_key" varchar(100), // 加密密钥。恢复码和TOTP密钥不能明文存储在数据库,我将需要加密的东西和此key混合进行AES算法加密
  "created_at" timestamp(6),
  "updated_at" timestamp(6),
   PRIMARY KEY ("id")
);
# 用户和恢复码对应的表(恢复码不和密钥绑定,而是跟随用户)
CREATE TABLE user_mfa_recover (
  "id" int8 NOT NULL,
  "user_id" int8,
  "recover_key" varchar(100) ,  // 恢复码,用户不能够使用TOTP的验证码登录时,使用这个登录。
  "is_used" int4,
  "version" int4, // 恢复码的版本,由于我的业务,我设置了 当一组十个恢复码使用完毕后,自动生成新的一组恢复码,用版本进行了区分。
  "created_at" timestamp(6),
  "updated_at" timestamp(6),
   PRIMARY KEY ("id")
);

其他

QR码的绑定图示:
在这里插入图片描述

听︶海枯的声音
关注
MFA与密码学:多因素认证的加密艺术
kkchenjj的博客
07-17 881
你所知道的(如密码或PIN码)你所拥有的(如手机、智能卡或USB安全令牌)你所是的(如指纹、虹膜扫描或面部识别)
Linux、CentOs SSH 登录集成 Google AuthenticatorMFA、2FA)
mfshi的博客
09-12 1107
在本节中,展示如何安装实现谷歌双因素协议的可插拔验证模块(PAM)。使用这个模块,用户必须输入一个2FA令牌才能登录。当用户的密码或SSH密钥被盗时,这额外的保护可以帮助提高安全性。这个模块将工作在任何利用SSH的Linux操作系统上。虽然我只在运行Raspbian操作系统的Raspberry Pi上测试了本教程,但它应该可以在任何操作系统上工作。测试登录,(保持上面的登录session不要断开,重新打开一个session,以防配置有问题时,无法登录设备)
使用Microsoft-Authenticator做系统登录的二次身份验证(双因素认证
Libigtong的博客
05-30 6033
(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。我最近在项目中遇到需要在登录的时候加入双因素验证系统的功能需求, 整体步骤感觉还是有必要写下来,方便做类似功能的同学能够借鉴。10:10:30-10:11:00 之间生成的TOTP 能校验通过,以此类推。这个是策略类的接口,除了使用微软的验证器,你还可以实现这个接口来使用其他品牌的验证器。这个工具类就放在你的项目中,就代表你的这个功能做了有一半了。,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的。
安全开发:身份认证方案之 Google 身份验证器和基于时间的一次性密码 TOTP 算法
skysys的研究小屋
12-11 2969
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
GoogleAuthenticator:将Google Authenticator集成到PHP项目中的库
02-06
Google身份验证器 从移植 您可以从此处使用Google Authenticator应用程序来生成一次性密码/令牌,并使用此小型PHP应用程序进行检查(当然,您也可以以此创建它们。 科 Github动作 覆盖范围 2.x 主 使用Composer安装 composer require sonata-project/google-authenticator 用法 有关如何使用的信息,请参见example.php。 有一个小的网络应用程序显示了它在web /中的工作方式,请使users.dat可为网络服务器编写,否则就无法正常工作(它无法保存秘密)。 尝试使用chregu / fooba
集成Google Authenticator实现因素认证(MFA)
Blueeyedboy521的博客
06-03 2021
尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。
google-authenticator:Ruby gem,用于实现GoogleMFA身份验证器
02-19
GoogleAuthenticatorRails Rails(ActiveRecord)与适用于和的Google Authenticator应用程序集成。 使用Authlogic样式进行cookie管理。 安装 将此行添加到您的应用程序的Gemfile中: gem 'google-authenticator-rails' 然后执行: $ bundle 或自己安装为: $ gem install google-authenticator-rails 用法 例子: class User acts_as_google_authenticated end @user = User . new @user . set_google_secret # => true @user . google_secret_value # => 16-charact
desafio-google-authenticator:在Google上进行的系统集成的Aplicaç&atilde;oem
02-25
DESAFIOTÉCNICO 问题解决 或通过电子邮件确认您的API是否正确,请使用Google身份验证器,网址为: : mVIxzH4EWmA 实施要求: Utilizando Javascript,谷歌搜索引擎集成的必要条件(作为动机的SE框架)。 在使用时应注意的事实,以及在使用github上的链接时都应遵循的实用信息。 Fazer部署了一些通用的服务。 链接到应用程序的关键条件。 Dinâmicadeapresentaç&atilde;o Segue细节:●Explicar como chegou nasoluç&atilde;o●Apresentar como ocódigofunciona 调色板 root :{ purple : # 9400FF ; pink : # DF00A9 ; green : # 12BC00 ; blue : # 0A84FF
google浏览器插件之身份验证器Authenticator MFA
yanlinpu的博客
12-20 6096
谷歌身份验证器 之 Google浏览器扩展authenticator实现
物联网设备安全加固:实现因素认证的策略与实践
最新发布
07-28
- **利用 Google AuthenticatorAuthy 等提供 TOTP 服务**:这些服务可以为物联网设备提供便捷且安全的认证解决方案。 ##### 4.2 集成生物识别技术 - **在支持生物识别的设备上实现因素认证**:对于具备相应硬件...
go语言mfa绑定代码实现
03-22
在本文中,我们将深入探讨如何使用Go语言实现基于RFC6238的多因素认证MFA)系统,特别是一次性密码(TOTP)的绑定和验证。多因素身份验证是一种安全措施,它要求用户提供两个或更多种类型的凭证,以增加账户的安全...
SSO Apereo CAS中的多因素认证MFA实现
因素认证MFA)是一种通过结合用户的多个身份验证因素来确认用户身份的技术。除了传统的密码或用户名外,MFA还可能包括短信验证码、硬件令牌、生物识别等因素。这种方法可以有效降低黑客入侵的风险,
Spring Security 多因素认证MFA
new_ord的博客
02-27 2634
在本文中,我们将使用Spring Security 实现因素认证,使用 TOTP(基于时间的一次性密码)作为第二种身份识别形式。此 TOTP 由用户移动设备上的应用程序生成,例如 Google 身份验证器。
MFA因素认证和TOTP认证逻辑解析
shyの个人笔记
08-15 684
这篇博客深入探讨了MFA因素认证及其核心组成部分,重点介绍了基于时间的一次性密码(TOTP)的工作原理和优势,强调了MFA和TOTP在提升在线安全性方面的重要性。
不存数据库生成验证码(totp算法)
weixin_33743880的博客
05-07 245
以前做验证式的方法都是new Random().Next(10000,99999) 生成随机数了以后存到数据库中的用户表中,用户输入验证码了再查询用户表做比较的,网友说这种做法太LOW B了,应该用TOTP算法来弄,同时给了一个网址过来,https://github.com/Arch/Standard/blob/master/src/Arch.Standard/Utils/Totp.cs   ...
技术分享| 利用Google MFA实现Amazon linux 2023身份校验
eCloudrover_2014的博客
01-18 546
伊克罗德信息为一家 Born-In-Cloud 云原生的咨询服务公司,为企业提供云端架构咨询、项目迁移、混合云环境托管、培训与多样化的上云解决方案,服务全球企业超过数千家,客户横跨互联网、媒体、游戏、电商零售、制造、汽车、金融科技、社交应用等行业。当前对于EC2的防护除了合理的管控密钥文件以及密码,那对于十分重要的EC2环境,是否可以再进行二次验证登录?本次将通过Google MFA实现登录EC2的二次验证。🔘 由于目前没有公开的google MFA的RPM包,需要自行通过github来编译下,先安装。
TOTP - 邮箱或手机号验证码生成与验证
lizhongyang21的博客
09-29 2001
TOTP Time-based One-time Password algorithm, 是一种共享密钥和当前时间计算一次性密码的算法。 使用目的 利用时间戳和邮箱生成一段时间内唯一的验证码。验证时使用用户输入的验证码和一段时间内生成的验证码集合对比,如果在此集合,则证明验证码有效。摆脱使用redis等方式存储和对比验证码。 使用 class Totp { private $salt = 'salt'; // 盐 private $refreshInterval = 30; //每隔
java TOTP 验证码 hmcsha1算法实现
月夜流心的博客
07-15 456
import java.nio.ByteBuffer; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base32; public class TotpUtils { /** 时间步长,动态口令变化时间周期(单位秒) */ private static final int TIME_STEP = 30; /** 动态口
探索TOTP:一种安全的身份验证方案
gitblog_00055的博客
04-06 706
探索TOTP:一种安全的身份验证方案 项目地址:https://gitcode.com/linsir6/TOTP 在数字化的世界里,确保账户安全至关重要。TOTPTime-based One-Time Password)项目提供了一种强大而可靠的方法,为您的在线身份提供额外保护层。本文将深入解析TOTP的工作原理、应用及其独特优势,引导您了解并开始使用这一工具。 什么是TOTP? TOTP是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值