TOTP实现Google Authenticator认证工具获取6位验证码

已于 2025-02-08 10:02:14 修改
阅读量929 收藏 10
点赞数 4
分类专栏: Java 文章标签: java
于 2025-02-07 23:10:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42430947/article/details/145504320
版权

登录遇到Google认证怎么办?

在这里插入图片描述

TOTP是什么?(Google Authenticator)

TOTP(Time-based One-Time Password)是一种基于时间的一次性密码算法,主要用于双因素身份验证。其核心原理是通过共享密钥和时间同步生成动态密码,具体步骤如下:

  1. 共享密钥:服务端与客户端预先共享一个密钥(通常为Base32编码的字符串)。

  2. 时间分片:将当前时间戳(Unix时间,秒级)除以固定时间窗口(如30秒),得到一个整数时间计数器(T)。

  3. HMAC哈希:用密钥对时间计数器T进行HMAC-SHA1运算,生成20字节的哈希值。

  4. 动态截断

    • 取哈希值末4位的低4位作为偏移量offset
    • offset位置截取4字节数据,转换为31位整数S

  5. 生成OTP:对S取模运算(如S % 10^6),生成6-8位的数字密码,有效期为一个时间窗口。

特点

  • 密码每30秒(可配置)自动更新,防止重放攻击。
  • 依赖时间同步,通常允许±1个时间窗口的容差。
  • 无需联网通信,离线设备(如验证器App)亦可生成有效密码。

常见业务场景
TOTP(Time-based One-Time Password)是基于时间的一次性密码算法,广泛应用于双因素身份验证(2FA)场景中,通过结合静态密码和动态生成的临时密码来增强安全性。以下是其常见业务场景及对应参考资料的支持:

  1. 在线账户与云服务安全
    TOTP常用于保护电子邮件、社交媒体、企业SaaS平台(如Google Workspace、Microsoft 365)等在线账户,防止密码泄露后的未授权访问。例如,用户登录时需输入密码和手机端生成的TOTP验证码。

  2. 金融服务与网银操作
    银行和支付平台(如PayPal、支付宝)使用TOTP验证用户身份,尤其是在转账、修改敏感信息等高风险操作时,通过动态密码降低盗刷风险。

  3. 企业内网与VPN访问
    企业通过TOTP限制员工远程访问内部网络或VPN,确保只有持有动态验证码的授权人员可连接,防止外部攻击者利用窃取的静态密码入侵。

  4. 服务器与特权账户管理
    系统管理员登录服务器、数据库或运维平台时,需提供TOTP验证码,避免因密码泄露导致关键基础设施被入侵。

  5. 政府与公共系统安全
    政府机构的社保、税务等系统采用TOTP保护公民敏感数据,结合密码和动态码实现双重验证,提升防抵赖性和合规性。

  6. 开发工具与代码仓库
    GitHub、GitLab等平台为开发者账户启用TOTP,防止代码库被恶意篡改或窃取,尤其在开源协作场景中尤为重要。

技术优势支持场景

  • TOTP无需依赖网络通信(如短信验证码),仅需时间同步即可生成密码,适用于弱网络环境。
  • 其算法开源且易于集成,适配多数主流认证应用(如Google Authenticator、1Password)。
  • 需注意时间同步问题,否则可能导致验证失败。

TOTP广泛用于Google Authenticator、Microsoft Authenticator等双因素认证工具,平衡安全性与用户体验。

以下是代码实现,已将二维码提取为URI如代码所示

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.io.IOException;
import java.net.InetAddress;
import java.net.URI;
import java.net.URLDecoder;
import java.nio.ByteBuffer;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.codec.binary.Base32;
import org.apache.commons.net.ntp.NTPUDPClient;
import org.
最低0.47元/天 解锁文章
[TOTP]android kotlin实现 totp身份验证器 类似Google身份验证器
a7178077的专栏
12-30 1652
作用:令牌添加页面片段,提供手动输入令牌,和触发zxing令牌扫描功能,并回收zxing扫描后的结果,进行存储,将相关id数据传输给codeShow单独展示的页面进行展示。作用:软件核心功能,调用jboss包的otp算法,对密钥进行运算,得出动态令牌。作用:时间工具,因为totp是每30秒计算一次,而每次进入软件的时间不同,该功能用于纠正进入的时间差,让令牌刷新倒计时进入精确的时间区间。作用:令牌列表界面,提供了定时器刷新整个列表的功能,和每个令牌单独点击触发的功能。作用:令牌列表每一个令牌的布局。
Spring Boot 3.3 带你玩转 TOTP 双重认证,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
03-25 758
这套 TOTP 注册系统,结合了现代前端技术和稳健的后端架构,实现了高效、安全的用户注册流程。在设计的时候,充分考虑了安全性和用户体验,确保用户在注册过程中能够快速获取所需信息,又不影响安全标准。总的来说,这套系统不仅提高了用户账户的安全性,还通过友好的操作流程,增强了用户的信任感,为未来的扩展和优化打下了坚实的基础!```黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
MinaOTP-Shell:TOTP身份验证器工具作为终端工具
02-05
MinaOTP-壳 MinaOTP-Shell是一种两因素身份验证工具,可在终端中作为命令行工具运行。 这个命令行工具将为您生成安全的动态2FA令牌,在终端中的add , remove , list , show和import将非常方便。 安装 pip install minaotp 用法 帮助信息 $ mina -h usage: mina [-h] {list,add,remove,show,import} ... MinaOTP is a two-factor authentication tool that runs in the terminal positional argume
关于Google身份验证器、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 8888
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法)
weixin_33976072的博客
05-01 236
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法) TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based mo...
在线TOTP工具,支持Github双2FA验证,无需下载任何应用
yunmoon的博客
07-18 1775
在线OTP动态口令生成器,安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8动态口令。无需安装软硬件,访问网站或使用移动应用即可获取
安全开发:身份认证方案之 Google 身份验证器和基于时间的一次性密码 TOTP 算法
skysys的研究小屋
12-11 3827
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
推荐:OTP Authenticator —— 安全的两步验证守护者
gitblog_00055的博客
06-10 786
推荐:OTP Authenticator —— 安全的两步验证守护者 otp-authenticatorA two-factor authentication App for Android项目地址:https://gitcode.com/gh_mirrors/ot/otp-authenticator 1、项目介绍 在网络安全日益重要的今天,OTP Authenticator 是一款为您的在线账...
totp-me:Java ME的TOTP身份验证器-开源
05-13
不仅是用于Java启用电话的两步验证的Google身份验证器。 这是RFC 6238身份验证器的MIDlet-1.0实现-TOTP:基于时间的一次性密码算法。 它快速,简单,并且支持多个配置文件。
探索TOTP:一种安全的身份验证方案
gitblog_00055的博客
04-06 1057
探索TOTP:一种安全的身份验证方案 去发现同类优质开源项目:https://gitcode.com/ 在数字化的世界里,确保账户安全至关重要。(Time-based One-Time Password)项目提供了一种强大而可靠的方法,为您的在线身份提供额外保护层。本文将深入解析TOTP的工作原理、应用及其独特优势,引导您了解并开始使用这一工具。 什么是TOTPTOTP是一种一次性密码算法,基...
Google身份验证器:Clojure程序使用TOTP计算您的Google身份验证器OTP
01-30
Google身份验证器 Clojure程序,用于计算您的Google身份验证器otp。 我个人使用它来自动与苹果脚本一起连接到VPN。 但是您可以找到其他用例,在这些用例中,您需要自动化OTP的计算和提交。 托普 Google身份验证器将Totp(基于时间的一次性密码)用于2要素身份验证。 当您/您的应用在Google身份验证器中注册时,Google会为您提供一个共享密钥(可以采用QR码的形式)。 共享密钥是一个Base32Encoded字符串,看起来像这样的JBSWY3DPEHPK3PXP TOTP算法通过对密钥和当前时间戳进行HMAC(表示为距EPOCH 30秒的步长)来计算Otp。 因此,OTP每30秒更改一次。 您可以在阅读有关该算法的更多信息。 使用情况(JVM) 该程序接收一个文件,该文件包含您的秘密密钥(已编码base32)作为参数,以及一个可选参数,用于指定otp写入的文件路径。 如果未指定第二个参数,则将otp打印到控制台。 make apply-patch lein compile lein uberjar cd target 由于我们使用的是气候信息,因此
security-totp:用于谷歌身份验证器的 totp
06-10
安全保护 谷歌身份验证器的 totp 谷歌身份验证器支持
tick-authenticator::pager:RFC6238中指定的基于时间的一次性密码(TOTP)算法
03-19
滴答认证器 RFC 6238中指定的基于时间的一次性密码(TOTP)算法。 生活中我们会经常使用到TOTP的算法应用,如银行的动态密码器,网络游戏中的将军令,登录场景下的手机二次验证等等。 下图便是一个常见的TOTP动态密码生成器: 为了提高游戏账号的安全性我们在输入账号密码后,对于绑定了将军令的用户还需要输入将军令(OTP动态密码生成器)上面的一次性动态密码,验证通过后方才登陆成功。 TOTP的生成步骤 RFC4226中定义了生成HOTP的关键三个步骤 步骤1:生成HMAC-SHA-1值令HS = HMAC-SHA-1(K,C)// HS是一个20字节的字符串 步骤2:生成一个4字节的字符串(动态截断)令Sbits = DT(HS)//定义如下的DT返回一个31的字符串 步骤3:计算HOTP值设Snum = StToNum(Sbits)//将S转换为0 ... 2 ^ {31} -
001 - TOTPGoogle 身份验证器
weixin_46253518的博客
04-05 6184
双因子验证,TOTPGoogle 验证器
OTP Authenticator 使用教程
gitblog_00563的博客
08-16 1007
OTP Authenticator 使用教程 项目地址:https://gitcode.com/gh_mirrors/ot/otp-authenticator 项目介绍 OTP Authenticator 是一个开源的两步验证应用,支持基于时间的一次性密码(TOTP)和基于计数器的一次性密码(HOTP)。该项目旨在为用户的在线账户提供额外的安全层,通过生成一次性密码来增强账户的安全性。 项目快速启...
python google auth totp_python基于谷歌身份验证器的动态密码实现
热门推荐
weixin_39868414的博客
12-09 1万+
在很多网站都有动态密码验证来增加安全性,例如银行的U盾,网易的将军令等都是基于动态密码来进行身份验证。动态密码有基于次数和基于时间来刷新的协议,现在基于谷歌的身份验证器来做一个基于时间的动态密码验证系统,默认30秒刷新一次实现原理:1、服务端首先要约定一个base32的密钥,并且把这个密钥与某个账户关联。2、在页面显示一个二维码,内容是一个URI地址(otpauth://totp/账号?secre...
TOTP】基于时间的动态密码及其工程实践
ATFWUS的博客
12-07 3458
探究了常见的动态密码的实现方式及其底层原理,并基于java做出了工程实践。
TOTPTOTP算法(基于时间的一次性动态密码)原理介绍 & 简要逻辑实现说明
大胡子老哥的博客
10-26 4672
TOTP算法(基于时间的一次性动态密码)原理介绍及实现简要
【OTP验证】Google Authenticator接入教程
qq_36328101的博客
11-06 2720
谷歌OTP认证登录入门教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星星点点洲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值