php实现双因子认证(口令加盐+谷歌认证器一次验证码)

最新推荐文章于 2024-05-15 10:03:24 发布
最新推荐文章于 2024-05-15 10:03:24 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: 其他 文章标签: php 网络信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37023469/article/details/84727135
版权

介绍

选用大二的web大作业,一个知识管理系统——“微知”,为基础来实现双因子用户认证模块,原本的认证方式是匹配用户名和口令,且口令在数据库中是明文存储的。

首先,先删除password字段,口令不再存储在数据库。

其次,对于散列函数,我选择了php中的md5()函数,它的返回值长度为32位。

实现加盐

在用户注册/修改口令(解释见说明)的时候随机生成一个32位的盐值(关于盐值长度的一个经验值是和hash函数的返回值长度保持一致),然后用md5()函数计算“用户输入的口令+盐值”字符串的散列值。将盐值和该散列值分别存入数据库中,字段分别是Salt和PasswordSHash(在原数据库设计的基础上新增的字段)。

认证时,在服务端通过用户输入的用户名,获取数据库中该用户对应的Salt数据,然后把Salt加到用户输入的口令值后面,再用md5()进行计算出散列值,最后将计算出的散列值和数据库中的PasswordSHash进行对比。

谷歌认证器的一次验证码

需要新增字段secretKey,用来保存每个用户(设备)的秘钥。在用户注册时,服务端随机生成一个16位的secretKey,既要在前端反馈给用户,又要存储在数据库中。用户获得到这个secretKey之后,添加到谷歌认证器中,认证器就会每隔30s提供一个6位的一次密码。

认证时,每当用户发送登录请求时,服务端会根据用户输入的用户名和口令先利用盐值和散列函数进行第一步认证。如果通过了认证,那么服务端会从数据库中获取该用户的secretKey&

最低0.47元/天 解锁文章
醋姑娘
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
登录认证(双因子)-手机令牌设计及实现
Ssoul、肥鱼的博客
09-06 3128
因子验证(2FA),指互不相关的两个因子验证用户身份,又被称作两步验证或者双因素验证,是一种安全验证过程。用户通过独有的认证因子做登录校验,通常是密码+令牌的形式。此处讲解令牌流程。
TwoFactorAuth:两因素验证(TFA 2FA)PHP
02-05
用于两个因素验证PHPPHP库,用于使用和进行。 受到启发,基于但最重要的是对“ ”进行了改进。 该库也有一个。 要求 在PHP 5.6到7.4上测试 使用提供的QRServerProvider (默认), ImageChartsQRCodeProvider或QRicketProvider时使用 ,但您也可以提供自己的QR码提供者。 , , 或取决于您使用的内置RNG(TwoFactorAuth会尝试“自动检测”并使用最好的可用RNG); 但是:请随时提供您自己的(CS)RNG。 (可选)您可能需要: 如果使用EndroidQrCodeProvider 。 如果使用Baco
业余草双因素认证(2FA)教程
xmt1139057136的专栏
11-02 1725
所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。密码是最常见的认证方法,但是不安全,容易泄露和冒充。越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。我的博客:CODE大全:www.codedq.net;业余草:www.xttblog.com;爱分享:www.ndislwf.co
推荐开源项目:PHP Two Factor Authentication 库
最新发布
gitblog_00082的博客
05-15 390
推荐开源项目:PHP Two Factor Authentication 库 项目地址:https://gitcode.com/RobThree/TwoFactorAuth 在当今数字化世界中,安全是至关重要的。随着数据泄露事件的频繁发生,传统的单一密码验证已不足以保障账户安全。而PHP库TwoFactorAuth,正是为了解决这一问题而诞生的。它实现了两步验证(也称为多因素认证),为你提供了一...
【转】双因子认证
prettyX的博客
03-26 438
http://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html https://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=53&id=469
php byte,php
weixin_28939623的博客
03-12 142
标签管理 标签简介 设置桶标签 查看桶标签 删除桶标签IDEA官方网站下载。 获取并安装PHP安装包,可至PHP官方下载页面下载。 将PHP安装目录中的“php.ini-production”文件复制到“C:\windows”,改名为“php.ini”,并在文件中增如下内容。 123 extension_dir = "{php安装目录}/ext"管理桶 创建桶 列举桶 删除桶 判断桶是否存在 获...
论文研究-一种双因子的双向身份认证系统.pdf
07-22
提出了一种基于一次性口令和指纹的身份认证方法,采用单向函数生成一次性口令并用一次性口令密指纹,实现了客户端和认证服务的双向认证,解决了小数攻击和指纹泄漏等安全问题,提高了公安业务系统的安全性。
基于生物特征和口令的双因子认证与密钥协商协议
01-14
提出了一个新型的基于生物特征和口令的双因子认证与密钥协商协议。该双因子协议利用用户的生物特征以及口令信息实现安全通信,用户不需要携带智能卡。利用模糊提取技术,服务不再保存用户生物信息,避免了服务被...
gitlab启动了双因子认证后,登录网站+下载代码操作指南
04-28
因子认证要求用户提供两种形式的身份验证,通常包括某种物理设备(如手机)上的动态验证码和常规的密码。 当GitLab管理员启用了双因子认证,用户在登录时需要遵循以下步骤: 1. **设置双因子认证**: - 在登录...
gitlab开启2FA双因子认证登录.Google的身份验证软件google authenticator
04-28
gitlab开启二次验证后,需要安装如下任意一款软件,生成验证码,生成后,保存好恢复代码,预防卸载软件或更换手机后的繁琐... 1、FreeOTP 2、Google身份验证 压缩包中存有两个身份验证,可以任意选择使用
基于PUF和IPI的可穿戴设备双因子认证协议
01-14
为了数据安全,基于物理不可克隆函数和脉搏间隔,提出一种设备节点和数据中心之间的双因子认证协议。此协议利用设备物理特征和用户生物特征双重唯一性,有效地阻止了妥协和假冒等攻击,且适用于体域网环境下资源受限...
ThinkPHP5实现JWT Token认证
Your_is_my_God的博客
07-21 725
1、composer先挂载阿里云镜像 composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/ 2、安装JWT扩展 composer require lcobucci/jwt 3.3 3、在vendor目录中打开readme.md文件 4、在extend目录中,自定义类进行JWT操作生成token 5、操作Token.php实现生成token的方法,详细在readme.md中的Hmac.
javascript版谷歌身份验证google authenticator
bigcarp的专栏
10-15 1899
https://www.cnblogs.com/huangcong/p/11028910.html : https://github.com/wuyanxin/totp.js 使用JS计算Google Authenticator Code - Last_Stardust - 博客园 斯坦福大学JS密库: "use strict";var sjcl={cipher:{},hash:{},keyexchange:{},mode:{},misc:{},codec:{},exception:...
php接入Google身份验证
梁吉林的博客
03-18 2883
如果不清楚Google身份验证是个什么东西的,建议先去了解一下,再回来看此篇文章,会更好理解一些。 GitHub上有对Google Auth的php实现封装,这里直接拿下来用,可从以下地址自行获取GitHub Google Authenticator 要使用Google Auth就需要先做好关联,支持的两种关联方式分别是“扫码”和“秘钥”,都有完整的支持。 <?php require_on...
php实现谷歌验证
guoqing000的博客
05-09 1989
php实现谷歌验证 我做的是二次开发添谷歌验证 下载文件 https://github.com/PHPGangsta/GoogleAuthenticator 引入 (引入的时候注意引入文件的类名要与文件名保持一致,这是我报错的地方) use Org\Google\GoogleAuthenticatormaster\PHPGangsta\GoogleAuthenticator; 下面是我的代码 我比较菜,代码撮合看看吧,项目的逻辑还是要自己好好盘的 //谷歌绑定 public function goo
谷歌验证 (Google Authenticator) PHP
热门推荐
luxiaoqi1188的博客
12-25 1万+
开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。 实现Google Authenticator功能需要服务端和客户端的支持。服务端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。 算法类保存为GoogleAuthenticator.php 的文件 怎么接在网站上?
WEB应用快速实现双因素登录案例-FIDO身份认证
安当加密
12-19 1172
FIDO身份认证 传统的身份认证方式,无论是使用口令还是指纹等生物特征,几乎都要通过用户和服务两侧的凭证匹配来完成。但是,随着数据泄漏的频发,全球的个人用户已经意识到,即使诸如雅虎、脸书这样规模,依赖互联网和用户信任的企业,也难以做到杜绝数据泄漏。邮箱、重要的业务系统出现异常登陆,我们还可以通过更换口令补救,但生物特征则无法如此随意。FIDO协议始终是围绕保护用户的隐私来设计的。这些协议不会向在线服务提供商提供可用于跟踪用户的信息。如果采用生物特征识别技术,用户生物特征绝不离开用户设备。 F.
PHP后台登陆增一个验证
u013323036的博客
08-17 974
一般我们登陆管理后台都是直接admin ,然后登陆自己的账号密码, 这里多一层安全验证。 &lt;?php if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_USER'] != 'xxx' ||$_SERVER['PHP_AUTH_PW'] ...
因子认证和双重密码认证的区别
05-23
因子认证与双重密码认证都是用于增强账户安全的方法,但它们的实现方式和安全级别略有不同。 双重密码认证是指在登录时需要同时输入两个密码,通常是一个固定的密码和一个动态的密码(如手机验证码)。这样可以防止黑客通过猜测或盗用密码来登录账户。但如果黑客能够获取到两个密码,仍然可以成功登录账户。 双因子认证是指在登录时需要提供两个以上的验证因素,例如密码和指纹、密码和手机应用生成的动态验证码、密码和硬件令牌等。这样即使黑客已经知道了密码,但他们没有其他验证因素,也无法登录账户。双因子认证比双重密码认证安全,因为攻击者需要同时突破多个安全层才能进入账户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值