SpringBoot-集成TOTP

已于 2024-06-05 13:38:13 修改
阅读量524 收藏 5
点赞数 5
分类专栏: Spring 文章标签: spring boot 后端 java
于 2024-06-05 11:38:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43714208/article/details/139467532
版权

TOTP验证码提供了一种高效且安全的身份验证方法。它不仅减少了依赖短信或其他通信方式带来的成本和延时,还通过不断变换的密码增加了破解的难度。未来,随着技术的进步和对安全性要求的提高,TOTP及其衍生技术将继续发展并被更广泛地应用。TOTP验证码是基于时间的一次性密码算法(Time-based One-Time Password algorithm)。其核心原理是使用预共享密钥和当前时间戳生成一次性的验证码。
TOTP验证码的概念及相关分析:

定义与用途:TOTP,即基于时间的一次性密码算法,是一种利用时间同步和双方预共享的密钥来生成一次性密码的方法。这种方法主要用于双因素认证(2FA),提高账户安全性。

工作机制:在TOTP中,服务器和客户端都会预先共享一个密钥。当需要验证用户身份时,客户端会基于当前时间和该预共享密钥生成一个OTP(一次性密码)。只有知道正确的密钥和准确时间的用户才能生成正确的OTP,从而通过验证。

安全性增强:由于每次认证都使用新的密码且仅在短时间内有效,这使得TOTP比传统的静态密码更为安全。即使攻击者截获了一次密码,也因其很快就过期而无法再次使用。

性能优化:与传统的短信发送验证码相比,TOTP不需要通信费用,且响应速度更快,因为它仅依赖于时间同步而非外部通信。

广泛应用:多数现代认证系统如Google Authenticator和其他多种第三方认证应用都支持TOTP,使其成为事实上的标准之一。

TOTP验证码的原理及相关分析:

密钥预共享:服务端生成并通过安全的渠道分发一个唯一的密钥给客户端。这个密钥是后续所有操作的基础。

时间戳的使用:客户端根据当前时间和预共享的密钥计算一次性密码。这个过程通常每30秒进行一次,确保密码的新鲜性和安全性。

HMAC-SHA1算法:使用预共享密钥和当前的时间计数作为输入,通过HMAC-SHA1算法生成一串固定长度的输出值。此输出经过特定处理后被转换为较短的数位,形成最终的验证码。

服务器验证:当用户提交OTP时,服务器也会使用相同的方法和密钥计算当时的OTP应是什么,并与用户提供的值进行比较,以此判断用户的验证请求是否有效。

容错机制:考虑到客户端和服务端的时钟可能不完全同步,TOTP算法允许有一定的时间容错,通常为前后几秒的时间窗口内,这保证了合法用户的正常体验。

以下是关于TOTP验证码的普及与应用以及注意事项:

普及与应用:随着移动设备的普及和互联网安全问题的增加,TOTP作为一种安全便捷的认证方式,正在被越来越多的场景所采用,包括企业级应用、金融服务、在线教育平台等。
注意事项:虽然TOTP提高了安全性,但仍应注意保护预共享密钥的安全,避免密钥泄露导致的潜在风险。同时,应定期更新密钥,防止长时间使用同一密钥增加的风险。

二维码是,下面label和issuer随意生成,secret是服务端根据每个用户生成

otpauth://totp/{label}?secret={secret}&issuer={issuer}

写一个starter

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>sf-framework</artifactId>
        <groupId>cn.nexteer.boot</groupId>
        <version>${revision}</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>
    <artifactId>sf-spring-boot-starter-otp</artifactId>
    <packaging>jar</packaging>
    <properties>
        <maven.compiler.source>17</maven.compiler.source>
        <maven.compiler.target>17</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <dependencies>
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-common</artifactId>
        </dependency>

        <!-- RPC 远程调用相关 -->
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-spring-boot-starter-rpc</artifactId>
            <optional>true</optional>
        </dependency>

        <!-- 业务组件 -->
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-module-system-api</artifactId> <!-- 需要使用它,进行 Token 的校验 -->
            <version>${revision}</version>
        </dependency>

        <!-- Spring 核心 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-aop</artifactId>
        </dependency>

        <!-- Web 相关 -->
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-spring-boot-starter-web</artifactId>
            <scope>provided</scope>
        </dependency>

        <!-- Web 相关 -->
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-spring-boot-starter-security</artifactId>
        </dependency>

        <!-- DB 相关 -->
        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-spring-boot-starter-mybatis</artifactId>
        </dependency>

        <dependency>
            <groupId>cn.nexteer.boot</groupId>
            <artifactId>sf-spring-boot-starter-redis</artifactId>
        </dependency>


        <!-- Test 测试相关 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!-- 工具类相关 -->
        <dependency>
            <groupId>com.google.guava</groupId>
            <artifactId>guava</artifactId>
        </dependency>
    </dependencies>
</project>

配置类

@AutoConfiguration
public class SfOtpAutoConfiguration {

    @Bean
    public OtpAuthAspect otpAuthAspect()
    {
        return new OtpAuthAspect();
    }
}

@AutoConfiguration
@EnableFeignClients(clients = AdminUserApi.class) // 主要是引入相关的 API 服务
public class SfAdminUserRpcAutoConfiguration {
}

SPI文件

在这里插入图片描述

切面类

@Aspect
@RequiredArgsConstructor
@Slf4j
public class OtpAuthAspect {
    static final String OTP_CODE_HEADER = "X-OTP-CODE";
    static final String OPT_CODE_PARAM = "otpCode";
    @Resource
    private AdminUserApi adminUserApi;

    @Before("@annotation(otpAuth)")
    public void beforePointCut(JoinPoint joinPoint, OtpAuth otpAuth) throws Throwable {
        LoginUser loginUser = getLoginUser();
        HttpServletRequest request = getRequest();
        String otpCode = getOtpCodeByRequest(request);
        if (StrUtil.isBlank(otpCode)) {
            log.error("[around][用户({}) 请求({}) 时,未传递 OTP 验证码]", loginUser.getId(), request.getRequestURI());
            throw new ServiceException(GlobalErrorCodeConstants.OTP_ERROR.getCode(), otpAuth.message());
        }
        String secret = getKeyByLoginUserId(loginUser.getId());
        if (StrUtil.isBlank(secret)) {
            log.error("[around][用户({}) 请求({}) 时,未配置 OTP 密钥]", loginUser.getId(), request.getRequestURI());
            throw new ServiceException(GlobalErrorCodeConstants.OTP_ERROR.getCode(), otpAuth.message());
        }
        boolean result = TotpUtils.verify(secret,otpCode);
        if (!result) {
            log.error("[around][用户({}) 请求({}) 时,OTP 验证码错误]", loginUser.getId(), request.getRequestURI());
            throw new ServiceException(GlobalErrorCodeConstants.OTP_ERROR.getCode(), otpAuth.message());
        }
    }

    private String getKeyByLoginUserId(Long id) {
        CommonResult<AdminUserRespDTO> user = adminUserApi.getUser(id);
        AdminUserRespDTO checkedData = user.getCheckedData();
        return checkedData.getOtpSecret();
    }

    private String getOtpCodeByRequest(HttpServletRequest request) {
        String header = request.getHeader(OTP_CODE_HEADER);
        if (StrUtil.isNotBlank(header)) {
            return header;
        }

        String attribute = (String)request.getAttribute(OPT_CODE_PARAM);
        if (StrUtil.isNotBlank(attribute)) {
            return attribute;
        }
        String parameter = request.getParameter(OPT_CODE_PARAM);
        if (StrUtil.isNotBlank(parameter)) {
            return parameter;
        }
        return null;
    }
}

工具类

@Slf4j
public class TotpUtils {


    private static int WINDOW_SIZE = 1;

    private static long X = 30;

    private TotpUtils() {}
 
    /**
     * 该方法使用JCE提供加密算法。
     * HMAC使用加密哈希算法作为参数计算哈希消息认证码。
     * @param crypto: the crypto algorithm (HmacSHA1, HmacSHA256,
     *                             HmacSHA512)
     * @param keyBytes: 用于HMAC密钥的字节
     * @param text: 用于HMAC密钥的字节数
     */
    private static byte[] hmac_sha(String crypto, byte[] keyBytes,
                                   byte[] text){
        try {
            Mac hmac;
            hmac = Mac.getInstance(crypto);
            SecretKeySpec macKey =
                    new SecretKeySpec(keyBytes, "RAW");
            hmac.init(macKey);
            return hmac.doFinal(text);
        } catch (GeneralSecurityException gse) {
            throw new UndeclaredThrowableException(gse);
        }
    }
 
    /**
     * This method converts a HEX string to Byte[]
     * @param hex: the HEX string
     * @return: a byte array
     */
    private static byte[] hexStr2Bytes(String hex){
        // Adding one byte to get the right conversion Values starting with "0" can be converted
        byte[] bArray = new BigInteger("10" + hex,16).toByteArray();
 
        // Copy all the REAL bytes, not the "first"
        byte[] ret = new byte[bArray.length - 1];
        for (int i = 0; i < ret.length; i++)
            ret[i] = bArray[i+1];
        return ret;
    }
 
    private static final int[] DIGITS_POWER
            // 0 1  2   3    4     5      6       7        8
            = {1,10,100,1000,10000,100000,1000000,10000000,100000000 };
 
    /**
     * This method generates a TOTP value for the given
     * set of parameters.
     *
     * @param key: the shared secret, HEX encoded
     * @param time: a value that reflects a time
     * @param returnDigits: number of digits to return
     *
     * @return: a numeric String in base 10 that includes truncationDigits digits
     */
    public static String generateTOTP(String key,
                                      String time,
                                      String returnDigits){
        return generateTOTP(key, time, returnDigits, "HmacSHA1");
    }
 
    /**
     * This method generates a TOTP value for the given
     * set of parameters.
     *
     * @param key: the shared secret, HEX encoded
     * @param time: a value that reflects a time
     * @param returnDigits: number of digits to return
     *
     * @return: a numeric String in base 10 that includes truncationDigits digits
     */
    public static String generateTOTP256(String key,
                                         String time,
                                         String returnDigits){
        return generateTOTP(key, time, returnDigits, "HmacSHA256");
    }
 
    /**
     * This method generates a TOTP value for the given
     * set of parameters.
     *
     * @param key: the shared secret, HEX encoded
     * @param time: a value that reflects a time
     * @param returnDigits: number of digits to return
     *
     * @return: a numeric String in base 10 that includes truncationDigits digits
     */
    public static String generateTOTP512(String key,
                                         String time,
                                         String returnDigits){
        return generateTOTP(key, time, returnDigits, "HmacSHA512");
    }
 
    /**
     * This method generates a TOTP value for the given
     * set of parameters.
     *
     * @param key: the shared secret, HEX encoded
     * @param time: a value that reflects a time
     * @param returnDigits: number of digits to return
     * @param crypto: the crypto function to use
     *
     * @return: a numeric String in base 10 that includes truncationDigits digits
     */
    public static String generateTOTP(String key,
                                      String time,
                                      String returnDigits,
                                      String crypto){
        int codeDigits = Integer.decode(returnDigits).intValue();
        String result = null;
 
        // Using the counter
        // First 8 bytes are for the movingFactor
        // Compliant with base RFC 4226 (HOTP)
        while (time.length() < 16 )
            time = "0" + time;
 
        // Get the HEX in a Byte[]
        byte[] msg = hexStr2Bytes(time);
        byte[] k = hexStr2Bytes(key);
 
        byte[] hash = hmac_sha(crypto, k, msg);
 
        // put selected bytes into result int
        int offset = hash[hash.length - 1] & 0xf;
 
        int binary =
                ((hash[offset] & 0x7f) << 24) |
                        ((hash[offset + 1] & 0xff) << 16) |
                        ((hash[offset + 2] & 0xff) << 8) |
                        (hash[offset + 3] & 0xff);
 
        int otp = binary % DIGITS_POWER[codeDigits];
 
        result = Integer.toString(otp);
        while (result.length() < codeDigits) {
            result = "0" + result;
        }
        return result;
    }
 
    /**
     * 验证动态口令是否正确
     * @param secretBase32 密钥
     * @param code 待验证的动态口令
     * @return
     */
    public static boolean verify(String secretBase32, String code){
        String secretHex = HexUtil.encodeHexStr(Base32Codec.Base32Decoder.DECODER.decode(secretBase32));
        long t = System.currentTimeMillis() / 1000L / X;
        
        for (int i = -WINDOW_SIZE; i <= WINDOW_SIZE; ++i) {
            String steps = Long.toHexString(t).toUpperCase();
            while (steps.length() < 16) steps = "0" + steps;

            String totp = generateTOTP(secretHex, steps, "6",
                    "HmacSHA1");
            if (code.equals(totp)) {
                return true;
            }
        }
        return false;
    }
}
种菜农
关注
专栏目录
SpringBoot-Google二步验证
04-29 1469
SpringBoot-Google二步验证 概念:Google身份验证器Google Authenticator是谷歌推出的基于时间的一次性密码(Time-based One-time Password,简称TOTP),只需要在手机上安装该APP,就可以生成一个随着时间变化的一次性密码,用于帐户验证。 Google身份验证器是一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件...
tick-authenticator::pager:RFC6238中指定的基于时间的一次性密码(TOTP)算法
03-19
滴答认证器 RFC 6238中指定的基于时间的一次性密码(TOTP)算法。 生活中我们会经常使用到TOTP的算法应用,如银行的动态密码器,网络游戏中的将军令,登录场景下的手机二次验证等等。 下图便是一个常见的TOTP动态密码生成器: 为了提高游戏账号的安全性我们在输入账号密码后,对于绑定了将军令的用户还需要输入将军令(OTP动态密码生成器)上面的一次性动态密码,验证通过后方才登陆成功。 TOTP的生成步骤 RFC4226中定义了生成HOTP的关键三个步骤 步骤1:生成HMAC-SHA-1值令HS = HMAC-SHA-1(K,C)// HS是一个20字节的字符串 步骤2:生成一个4字节的字符串(动态截断)令Sbits = DT(HS)//定义如下的DT返回一个31位的字符串 步骤3:计算HOTP值设Snum = StToNum(Sbits)//将S转换为0 ... 2 ^ {31} -
BooTOTP:一个用于基于时间的一次性密码(TOTP)生成的Spring Boot
05-12
BooTOTP 一个用于基于时间的一次性密码(TOTP)生成的Spring Boot库 基本用法 import io.jdg.totp.EnableOneTimePasswordGeneration ; import org.springframework.boot.autoconfigure.SpringBootApplication ; import org.springframework.boot.builder.SpringApplicationBuilder ; @SpringBootApplication @EnableOneTimePasswordGeneration public class SampleApp { public static void main ( String [] a ) { new SpringApplicationBuilder ( Sam
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法)
weixin_33976072的博客
05-01 198
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法) TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based mo...
在线TOTP工具,支持Github双2FA验证,无需下载任何应用
最新发布
yunmoon的博客
07-18 602
在线OTP动态口令生成器,安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8位动态口令。无需安装软硬件,访问网站或使用移动应用即可获取。
SpringBoot + mybatis-plus + HMACOTP 实现双因素身份验证功能
竹林幽深
09-05 657
在上述代码中,我们创建了一个LoginController,调用 /secure/generate-otp 请求获取 指定用户 admin 获取 otp值,根据生成的otp值,处理POST请求/secure/login。双因素身份验证(Two-Factor Authentication,简称2FA)是一种增强用户身份验证安全性的方法,通常结合使用密码和另外一种身份验证因素,如一次性密码(OTP)来进行验证。该方法会尝试验证当前时间的5分钟内时间戳的HMACOTP,允许一定的时间差。
SpringBoot的starter到底是什么?
lisu061714112的专栏
10-02 3281
我们都知道,Spring的功能非常强大,但也有些弊端。比如:我们需要手动去配置大量的参数,没有默认值,需要我们管理大量的jar包和它们的依赖。为了提升Spring项目的开发效率,简化一些配置,Spring官方引入了SpringBoot。当然,引入SpringBoot还有其他原因,在这里就不过多描述了。本文重点跟大家一起聊聊的机制,因为它太重要了。 在还没有出来之前,我们使用开发项目。如果程序需要连接数据库,我们一般会使用或等框架,这里我以Mybatis为例,具体的操作步骤如下:当然有些朋友可能会指正,不是还
springsecuritytotp:使用Google Authenticator登录Spring Security(基于时间的一次性密码算法,TOTP
02-05
使用Google Authenticator登录Spring Security Form(基于时间的一次性密码算法,TOTP) 在线演示: : 博客文章: :
【TOTP】TOTP算法(基于时间的一次性动态密码)原理介绍 & 简要逻辑实现说明
大胡子老哥的博客
10-26 4137
TOTP算法(基于时间的一次性动态密码)原理介绍及实现简要
iOS-TOTP:TOTP 的简单单视图 iOS 实现
07-05
iOS TOTP 示例 (基于时间的一次性密码)是一种非常简单的两因素身份验证方法。 谷歌身份验证器使用它。 但是,原始 Google Authenticator iOS 客户端的项目非常臃肿,并且很可能在第一次运行时无法编译(至少对我...
开源项目-benjojo-totp-ssh-fluxer.zip
09-03
开源项目“benjojo-totp-ssh-fluxer”是一个基于TOTP(Time-based One-Time Password,基于时间的一次性密码)的安全工具,主要用于增强SSH(Secure Shell)连接的安全性。TOTP是一种广泛用于两步验证的方法,它可以...
harmonyos2-harmony-totp:和声
07-01
和谐TOTP智能合约 网络客户端 在 中查看演示。 兼容以太坊网络和 Metamask 上的 Harmony。 构建智能合约 yarn truffle build 设置网页客户端 yarn (at the base level) cd webclient yarn yarn dev 访问 钱包设计 ...
TOTP-spring-example
05-02
spring-boot-totp#一个简单的示例项目,其中包含一些Angular-js和Spring,展示了如何将TOTPSpring Security集成。 还有一个示例,说明如何为TOTP创建用户并生成机密 ##要求## Java 8 MySQL数据库
【TOTP】基于时间的动态密码及其工程实践
ATFWUS的博客
12-07 2994
探究了常见的动态密码的实现方式及其底层原理,并基于java做出了工程实践。
【IoT】加密与安全:双因素认证(2FA):TOTP
产品线负责人
05-25 3551
认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。密码是最常见的认证方法,但是不安全,容易泄露和冒充。 基于安全认证,很多场景要求启用双因素认证(Two-factor authentication,简称 2FA)。 1、什么是双因素认证 一般有三种不同类型的证据可以证明一个人的身份。 1) 秘密信息 只有该用户知道、其他人不知道的某种信息,比如密码。 ...
TOTP 算法实现:双因素认证的基石(C/C++代码实现)
chen1415886044的博客
05-26 839
双因素认证(Two-Factor Authentication, 2FA)扮演着至关重要的角色。它像是一道额外的防线,确保即便密码被窃取,不法分子也难以轻易突破。在众多双因素认证技术中,基于时间的一次性密码(Time-Based One-Time Password, TOTP)算法因其安全性高、使用便捷而受到广泛应用。 TOTP算法是一种基于时间的一次性密码生成算法,它的核心思想是利用时间作为变化的因子来生成动态的密码。这种算法通常与用户的个人信息结合使用,如用户名或电子邮件地址,以及一个共享的秘密密钥。
关于Google身份验证器、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7936
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
TOTP - 邮箱或手机号验证码生成与验证
lizhongyang21的博客
09-29 2000
TOTP Time-based One-time Password algorithm, 是一种共享密钥和当前时间计算一次性密码的算法。 使用目的 利用时间戳和邮箱生成一段时间内唯一的验证码。验证时使用用户输入的验证码和一段时间内生成的验证码集合对比,如果在此集合,则证明验证码有效。摆脱使用redis等方式存储和对比验证码。 使用 class Totp { private $salt = 'salt'; // 盐 private $refreshInterval = 30; //每隔
物联网安全-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 1956
动态口令学习记录
tpm2-totp怎么安装
04-30
tpm2-totp是一个基于TPM(Trusted Platform Module)的一次性密码生成器。要安装tpm2-totp,可以按照以下步骤进行操作: 1. 首先,确保你的系统已经安装了TPM驱动和相关的软件包。你可以通过运行`tpm2_getrandom`命令来检查TPM是否可用。 2. 接下来,你需要安装tpm2-tss(TPM Software Stack)和tpm2-tools。这些软件包提供了与TPM进行交互的工具和库。你可以使用包管理器来安装它们,例如在Ubuntu上可以使用以下命令: ``` sudo apt-get install tpm2-tss tpm2-tools ``` 3. 安装完tpm2-tss和tpm2-tools后,你可以从tpm2-totp的GitHub仓库中获取源代码。你可以使用git命令进行克隆: ``` git clone https://github.com/tpm2-software/tpm2-totp.git ``` 4. 进入克隆下来的tpm2-totp目录,并执行以下命令来编译和安装tpm2-totp: ``` cd tpm2-totp make sudo make install ``` 5. 安装完成后,你可以使用`tpm2-totp`命令来生成一次性密码。具体的使用方法可以参考tpm2-totp的文档或者使用`tpm2-totp --help`命令查看帮助信息。 希望以上步骤对你有帮助!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值