java token生成和验证_技术派:银行用的Token验证码是怎么生成的

最新推荐文章于 2023-12-04 09:59:19 发布
最新推荐文章于 2023-12-04 09:59:19 发布
阅读量392 收藏
点赞数
文章标签: java token生成和验证 license 验证服务器唯一机器码

更多互联网新鲜资讯、工作奇淫技巧关注原创【飞鱼在浪屿】(日更新)

1a607ae661631350f50e8418a704bcc1.png

基于时间的一次性密码(TOTP)算法基本流程

在最高级别上,您在这些应用上看到的密码是使用TOTP(Time-based One-Time Passwords,基于时间的一次性密码)算法创建的。密码是通过结合身份验证所用服务的密钥和当前时间生成的。这就是为什么代码总是在几秒钟后过期的原因。

如果用过这些应用程序(Twilio Authy,Google Authenticator,Microsoft Authenticator,这些app都可以在苹果商店/安卓市场下载到),则可能会记得必须在整个过程中的某个地方需要扫描二维码。扫描二维码就是读取二维码的密钥,存到设备存储中。该算法与SIM卡,蜂窝网络提供商或电话的品牌/型号无关,因此比向用户发送验证码应用性更强。该算法的相关因素是当前时间和共享密钥。

每当在支持TOTP的服务上创建新帐户时,都会为你的用户帐户生成唯一的密码。然后,下次您登录时,该网站将运行客户端运行的相同算法来生成密码。如果来自客户端的密码与服务器生成的密码相匹配,则对用户进行身份验证,并且完成了双重身份验证过程。

算法如何工作

让我们看看从头开始实现TOTP服务需要做些什么。

TOTP是基于HMAC的一次性密码算法(HOTP)构建的,先了解下HMAC。

HMAC(基于哈希的消息身份验证代码)使用了以下东西:

  • 加密哈希函数(通常为SHA1)
  • 秘密密钥
  • 计数器(客户端和服务器TOTP进程通过计数器保持同步)

生成唯一的基于时间的身份验证代码。

TOTP和HOTP / HMAC之间的主要区别在于计数器属性。

HOTP的计数器通常是事件驱动的,例如,按下按钮会更改计数器的值。

79ccf788228d5218e8fc606a935b4534.png

实现HOTP算法的设备

而在TOTP中,计数器值是基于当前时间戳设置的。

让我们看一下端到端的流程。

首先,我们将从时间戳创建一个计数器。为了避免引入额外的复杂性,将使用从纪元开始的时间戳,该时间戳与时区无关。

4b822e5875729cd2a83ed20027fb5466.png

使用从纪元开始到现在时间经过了多少个Tx间隔来作为HOTP算法的输入。简而言之,此计算是为了找出用户有多少Tx间隔。

48d811b378c8042c9b74c1cae445c60f.png

TOTP的完整流程

实践

以下是Swift代码的实现: 

 let secretKey = "digitalbunker" let counter = "53283545" let hmacResult: String = secretKey.hmac(algorithm: .SHA1,  counter: counter)

有了共享密钥secretKey和计数器counter,经过hmac不可逆运算,得到一个哈希值hmacResult(1OyZRjbfhe+8womld8xldXo5V9M=)。

接下来,将此哈希值转换为十六进制字符串hexString: 

let data = Data(hmacResult.utf8)let hexString = data.map{String(format:"%02x ", $0)}

hexString现在等于31 4f 79 5a 52 6a 62 66 68 65 2b 38 77 6f 6d 6c 64 38 78 6c 64 58 6f 35 56 39 4d 3d。

这并不像是用户每次进行身份验证时键入的内容。让可以找到一种更简单的表示方式,6位代码将是一种很好的用户友好选择。

我们将通过称为动态截断的过程将此哈希值转换为较短的代码。

动态截断包括获取十六进制字符串最后一个字节的低4位,并将其用作字符串的偏移量,以帮助创建6位代码,同时仍然保持安全。

最后一个字节是3d指最后4位是十六进制d(十进制13)。

从偏移量13开始,截取接下来的4个字节:

31 4f 79 5a 52 6a 62 66 68 65 2b 38 77 6f 6d 6c 64 38 78 6c 64 58 6f 35 56 39 4d 3d

现在,我们将转换0x6f6d6c64为十进制1869442148。由于只需要一个6位数字的代码,因此我们可以取最后6位数字442148并将其返回给用户。

现在,服务器将执行3个完全相同的步骤序列。也就是说它将检查当前的30秒间隔,上一个间隔和下一个间隔,以解决时钟不一致问题。如果服务器的代码与用户输入的代码匹配,则对用户进行身份验证通过。

总结

攻击者可以像其他密码一样篡改TOTP值,但是攻击者必须几乎客户端和服务端实时地窃取凭据。这加大了被攻击的难度,提升了安全等级。

如果时间容忍性太大,安全等级会降低。可以缩短代码的TTL。TOTP代码的标准TTL范围从10到30秒不等,以解决时间延迟(客户端和服务器端),不同步的时钟以及用户的易用性。随时调整TTL以满足你的安全需求。但是,如果攻击者能够找到共享密钥,则可以随意创建有效的TOTP代码,也就被攻击到,所以保护好密钥是最重要的事情。

54cb0f6bb5d5460dbe3be7b93a4ffb94.png
weixin_39526706
关注
Java高级工程师面试题整理
喜欢猪猪
06-11 6544
面试题: HashMap底层实现原理,红黑树,B+树,B树的结构原理,volatile关键字,CAS(比较与交换)实现原理 Spring的AOP和IOC是什么?使用场景有哪些?Spring事务,事务的属性,传播行为,数据库隔离级别 Spring和SpringMVC,MyBatis以及SpringBoot的注解分别有哪些?SpringMVC的工作原理,SpringBoot框架的优点,MyBatis框架的优点 SpringCould组件有哪些,他们的作用是什么?(说七八个)微服务的CAP是什么?B.
Java面试基础宝典
weixin_45388641的博客
09-06 738
一.基础知识: 1)集合类:List和Set比较,各自的子类比较(ArrayList,Vector,LinkedList;HashSet,TreeSet); ArrayList,LinkedList,Vector都属于List List:元素是有顺序的,元素可以重复因为每个元素有自己的角标(索引) |-- ArrayList:底层的数据结构是数组结构,特点是:查询很快,增 删 稍微慢点,线程不同步...
javaToken验证
qq_35124535的博客
01-09 960
javaToken验证 什么是Token:它是一个令牌,随机不可预测的。 为什么需要使用Token: 1,防止表单的重复提交 2:,防止跨站点的请求伪造 Token的使用流程是:首先在服务器生成一个随机的token值并在服务器端保存起来,然后向客户端请求的过程中把这个Token值传过去。之后页面操作完毕后向服务器提交数据的过程中又把这个Token值传回服务器端,
Java实现token生成验证-登录功能
qq_42362007的博客
12-04 1527
一、token与cookie相比较的优势 1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的; 2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session; 3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成token是符合我们预期设定的即可; 4、更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支
java token生成验证_Java Token登录验证 生成解析Token
weixin_36383052的博客
02-16 3067
借鉴参考Java Token登录验证 使用jjwt生成和解析JWTjava基于token验证之登陆验证等什么是Token?我的理解来说 token就是你访问服务器的口令,只要token合法,正确,你就能获取到后端数据当用户第一次登陆后,用户名密码验证成功后,服务器生成一个token,把token返回到客户端,一般token都是储存在浏览器的localStorage 或 cookies中,存在lo...
Java简单快速入门JWT(token生成验证
greatming666的博客
09-08 8927
java jwt简单了解并快速上手
Java实现Token生成验证
qq_38410963的博客
02-15 6558
二、基于JWT的token认证实现 JWT:JSON Web Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature 1、引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.2</version> <
Java零基础——SpringSecurity篇
最新发布
m0_47946173的博客
12-04 2062
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Java八股文
earn_est的博客
03-07 1万+
我是2022届双非软件工程应届生,目前在准备秋招,总结了一篇不错的八股文,如果你正好需要可以关注一下,共同学习;超链接如下: Java后端八股文(CSDN不再同步) 语雀地址 Hello, interviewer. My name is . I graduated from Zhengzhou University of Light Industry, majoring in software engineering and I will graduate next year. I have exper
Vue+Django REST framework打造生鲜电商项目
weixin_30782293的博客
09-26 4971
1-1 课程导学 2-1 Pycharm的安装和简单使用 2-2 MySQL和Navicat的安装和使用 2-3 Windows和Linux下安装Python2和Python3 2-4 虚拟环境的安装和配置 2-5 Vue开发环境搭建 2-6 资源获取方式和提问方式 3-1 项目初始化 3-2 User Model设计 3-3 Goods Model设计 3-4 Trade...
JWT 生成Token验证
01-22
JWT生成token验证(过期时间)用于前后断分离,及APP认证,可结合redis使用也可单独使用。
Token验证的代码
09-08
基于spring框架,数据交互是依据URLConnection进行数据传递的,参数在传递的过程使用RAS进行数据加密和MD5加密。
JAVA】基于Token的用户验证
逛街的喵啊
07-23 1万+
背景 传统的用户验证是基于session自身的特性实现,当用户提交登陆请求,后台验证通过后,会在session中留下用户的信息,用于识别当前用户在客户端登陆了。通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。因为认证的记录是保存在内存中,意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。......
javaApi JWT token生成以及验证
qq_46859110的博客
09-30 6485
JWT简介 JSON Web token简称JWT, 是用于对应用程序上的用户进行身份验证的标记。也就是说, 使用 JWTS 的应用程序不再需要保存有关其用户的 cookie 或其他session数据。此特性便于可伸缩性, 同时保证应用程序的安全。 在身份验证过程中, 当用户使用其凭据成功登录时, 将返回 JSON Web token, 并且必须在本地保存 (通常在本地存储中)。 每当用户要访问受保护的路由或资源 (端点) 时, 用户代理(user agent)必须连同请求一起发送 JWT, 通常在授权标头
java token生成验证_java生成图形验证码
weixin_39768695的博客
11-29 289
首先,需要生成验证码字符串,方式很多,下面提供一种,根据指定源的方式来生成验证码 /** * 使用系统默认字符源生成验证码 * * @param verifySize * 验证码长度 * @return */ public static String generateVerifyCode(int veri...
token生成验证
weixin_61652943的博客
06-14 1828
token生成验证
Token生成验证
pu329289309的博客
08-12 4331
Token生成验证TokenUtils生成 Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌(可以理解为一个字符串),当第一次登录后,服务器生成一个Token,便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码,(一般用户名和密码都被存在生成的字符串中,在服务器拿到这串字符串然后解析会得到传入的用户名和密码)。 TokenUtils pom.xml <dependency> <groupI
Java实现Token登录验证(基于JWT的token认证实现)
热门推荐
shuux666的博客
03-12 2万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
java token生成验证
04-29
Java是一种广泛使用的高级编程语言,其中token生成验证是其中一个常见的任务。Token是在身份验证和安全方面经常使用的令牌,它是一种内置的安全机制,用于验证和授权用户的身份。以下是javatoken生成验证的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值