需求
资源后台增加二次认证,提高系统安全性。
原理
要点说明
MFA:即Multi-FactorAuthentication多因素认证,是需要一部智能手机并安装虚拟MFA应用程序即可在账户上加上一层安全保险。 TOTP算法:即Time-Based One-Time Password基于时间的一次性密码,其核心内容包括以下三点:
- 共同密钥
- 共同时间
- 共同签署方法
逻辑说明
- 后台生成密钥,然后以二维码形式展示给用户;
- 用手机扫码添加MFA账号,生成6位安全码;将安全码添加到网站,确认绑定;
- 每次登陆,通过手机获取6位安全码并填写到网站登陆,后台会通过TOTP算法重新生成6位安全码跟页面获取安全码比对验证是否为合法用户。
注意
MFA用户只能绑定一次,手机端MFA账户不能删除;一旦删除需要提工单技术介入处理。
def random_base32(length=16):
"""生成共同密钥"""
return ''.join(
random.choice(chars)
for _ in range(length)
)
def get_mfa_code(secret_key):
"""
生成6位安全码
:param secret_key: mfa添加账号时使用的密钥
:return:
"""
interval = int(time.time()) // 30 # 安全码持续时长
key = base64.b32decode(secret_key)
msg = struct.pack(">Q", interval)
code = hmac.new(key, msg, hashlib.sha1).digest()
o = ord(chr(code[19])) & 15
code = str((struct.unpack(">I", code[o:o + 4])[0] & 0x7fffffff) % 1000000)
code = '0' * (6 - len(code)) + code # 如果安全码不足6位, 补齐至6位
return code
def verify_mfa(mfa_code, secret):
"""校验安全码是否一致"""
return mfa_code == get_mfa_code(secret)
常见(但不局限于)的MFA应用程序:
手机类型 | MFA应用程序 |
---|---|
iPhone | Google Authenticator,Eagle 2FA |
Android | Eagle 2FA,身份宝,洋葱 |
Windows Phone | 身份验证器 |
Blackberry | Google Authenticator |
参考文档
- 阿里云官方文档:https://help.aliyun.com/document_detail/62184.html?spm=a2c4g.11186623.6.721.27d5728517sMbv
- google authenticator算法TOTP的python实现:https://yq.aliyun.com/articles/683367/