Google身份验证器Google Authenticator的java服务端实现

已于 2023-11-21 09:25:17 修改
阅读量3k 收藏 8
点赞数 1
文章标签: 服务器 Authenticator. 谷歌身份验证器 java实现 .认证服务
于 2023-11-20 17:44:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuge507639721/article/details/134514462
版权

        Google身份验证器Google Authenticator是谷歌推出的一款基于时间与哈希的一次性密码算法的两步验证软件令牌,此软件用于Google的认证服务。此项服务所使用的算法已列于RFC 6238和RFC 4226中。谷歌验证器上的动态密码按照时间或使用次数不断动态变化(默认30秒变更一次)。

在本实现demo中,一共提供了四个接口,分别如下:

1、生成密钥

2、生成QR二维码

3、获取验证码

4、验证验证码是否正确

其中代码和接口注释说明非常详尽,可供参考,如遇问题欢迎可以留言沟通。

废话不多说,直接上代码,本次代码尽可能简单,最简单的结构附图,其中为了方便演示密钥使用了全局变量,在实际应用中应该采用《用户名:密钥》的绑定关系存储;

package com.wuge.google;

import org.apache.commons.codec.binary.Base32;
import org.apache.commons.codec.binary.Hex;
import org.springframework.util.StringUtils;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;

/**
 * 谷歌身份验证器工具类
 *
 * @author wuge
 */
public class GoogleAuthenticator {

    /**
     * 时间前后偏移量
     * 用于防止客户端时间不精确导致生成的TOTP与服务器端的TOTP一直不一致
     * 如果为0,当前时间为 10:10:15
     * 则表明在 10:10:00-10:10:30 之间生成的TOTP 能校验通过
     * 如果为1,则表明在
     * 10:09:30-10:10:00
     * 10:10:00-10:10:30
     * 10:10:30-10:11:00 之间生成的TOTP 能校验通过
     * 以此类推
     */
    private static int WINDOW_SIZE = 0;

    /**
     * 加密方式,HmacSHA1、HmacSHA256、HmacSHA512
     */
    private static final String CRYPTO = "HmacSHA1";

    /**
     * 生成密钥,每个用户独享一份密钥
     *
     * @return
     */
    public static String getSecretKey() {
        SecureRandom random = new SecureRandom();
        byte[] bytes = new byte[20];
        random.nextBytes(bytes);
        Base32 base32 = new Base32();
        String secretKey = base32.encodeToString(bytes);
        // make the secret key more human-readable by lower-casing and
        // inserting spaces between each group of 4 characters
        return secretKey.toUpperCase();
    }

    /**
     * 生成二维码内容
     *
     * @param secretKey 密钥
     * @param account   账户名
     * @param issuer    网站地址(可不写)
     * @return
     */
    public static String getQrCodeText(String secretKey, String account, String issuer) {
        String normalizedBase32Key = secretKey.replace(" ", "").toUpperCase();
        try {
            return "otpauth://totp/"
                    + URLEncoder.encode((!StringUtils.isEmpty(issuer) ? (issuer + ":") : "") + account, "UTF-8").replace("+", "%20")
                    + "?secret=" + URLEncoder.encode(normalizedBase32Key, "UTF-8").replace("+", "%20")
                    + (!StringUtils.isEmpty(issuer) ? ("&issuer=" + URLEncoder.encode(issuer, "UTF-8").replace("+", "%20")) : "");
        } catch (UnsupportedEncodingException e) {
            throw new IllegalStateException(e);
        }
    }

    /**
     * 获取验证码
     *
     * @param secretKey
     * @return
     */
    public static String getCode(String secretKey) {
        String normalizedBase32Key = secretKey.replace(" ", "").toUpperCase();
        Base32 base32 = new Base32();
        byte[] bytes = base32.decode(normalizedBase32Key);
        String hexKey = Hex.encodeHexString(bytes);
        long time = (System.currentTimeMillis() / 1000) / 30;
        String hexTime = Long.toHexString(time);
        return TOTP.generateTOTP(hexKey, hexTime, "6", CRYPTO);
    }

    /**
     * 检验 code 是否正确
     *
     * @param secret 密钥
     * @param code   code
     * @param time   时间戳
     * @return
     */
    public static boolean checkCode(String secret, long code, long time) {
        Base32 codec = new Base32();
        byte[] decodedKey = codec.decode(secret);
        // convert unix msec time into a 30 second "window"
        // this is per the TOTP spec (see the RFC for details)
        long t = (time / 1000L) / 30L;
        // Window is used to check codes generated in the near past.
        // You can use this value to tune how far you're willing to go.
        long hash;
        for (int i = -WINDOW_SIZE; i <= WINDOW_SIZE; ++i) {
            try {
                hash = verifyCode(decodedKey, t + i);
            } catch (Exception e) {
                // Yes, this is bad form - but
                // the exceptions thrown would be rare and a static
                // configuration problem
                // e.printStackTrace();
                throw new RuntimeException(e.getMessage());
            }
            if (hash == code) {
                return true;
            }
        }
        return false;
    }

    /**
     * 根据时间偏移量计算
     *
     * @param key
     * @param t
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     */
    private static long verifyCode(byte[] key, long t) throws NoSuchAlgorithmException, InvalidKeyException {
        byte[] data = new byte[8];
        long value = t;
        for (int i = 8; i-- > 0; value >>>= 8) {
            data[i] = (byte) value;
        }
        SecretKeySpec signKey = new SecretKeySpec(key, CRYPTO);
        Mac mac = Mac.getInstance(CRYPTO);
        mac.init(signKey);
        byte[] hash = mac.doFinal(data);
        int offset = hash[20 - 1] & 0xF;
        // We're using a long because Java hasn't got unsigned int.
        long truncatedHash = 0;
        for (int i = 0; i < 4; ++i) {
            truncatedHash <<= 8;
            // We are dealing with signed bytes:
            // we just keep the first byte.
            truncatedHash |= (hash[offset + i] & 0xFF);
        }
        truncatedHash &= 0x7FFFFFFF;
        truncatedHash %= 1000000;
        return truncatedHash;
    }

    public static void main(String[] args) {
        for (int i = 0; i < 100; i++) {
            String secretKey = getSecretKey();
            System.out.println("secretKey:" + secretKey);
            String code = getCode(secretKey);
            System.out.println("code:" + code);
            boolean b = checkCode(secretKey, Long.parseLong(code), System.currentTimeMillis());
            System.out.println("isSuccess:" + b);
        }
    }
}

package com.wuge.google;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.lang.reflect.UndeclaredThrowableException;
import java.math.BigInteger;
import java.security.GeneralSecurityException;

/**
 * 验证码生成工具类
 *
 * @author wuge
 */
public class TOTP {

    private static final int[] DIGITS_POWER = {1, 10, 100, 1000, 10000, 100000, 1000000, 10000000, 100000000};

    /**
     * This method uses the JCE to provide the crypto algorithm. HMAC computes a
     * Hashed Message Authentication Code with the crypto hash algorithm as a
     * parameter.
     *
     * @param crypto   : the crypto algorithm (HmacSHA1, HmacSHA256, HmacSHA512)
     * @param keyBytes : the bytes to use for the HMAC key
     * @param text     : the message or text to be authenticated
     */
    private static byte[] hmac_sha(String crypto, byte[] keyBytes, byte[] text) {
        try {
            Mac hmac;
            hmac = Mac.getInstance(crypto);
            SecretKeySpec macKey = new SecretKeySpec(keyBytes, "RAW");
            hmac.init(macKey);
            return hmac.doFinal(text);
        } catch (GeneralSecurityException gse) {
            throw new UndeclaredThrowableException(gse);
        }
    }

    /**
     * This method converts a HEX string to Byte[]
     *
     * @param hex : the HEX string
     * @return: a byte array
     */
    private static byte[] hexStr2Bytes(String hex) {
        // Adding one byte to get the right conversion
        // Values starting with "0" can be converted
        byte[] bArray = new BigInteger("10" + hex, 16).toByteArray();

        // Copy all the REAL bytes, not the "first"
        byte[] ret = new byte[bArray.length - 1];
        System.arraycopy(bArray, 1, ret, 0, ret.length);
        return ret;
    }

    /**
     * This method generates a TOTP value for the given set of parameters.
     *
     * @param key          : the shared secret, HEX encoded
     * @param time         : a value that reflects a time
     * @param returnDigits : number of digits to return
     * @param crypto       : the crypto function to use
     * @return: a numeric String in base 10 that includes
     */
    public static String generateTOTP(String key, String time, String returnDigits, String crypto) {
        int codeDigits = Integer.decode(returnDigits);
        String result = null;

        // Using the counter
        // First 8 bytes are for the movingFactor
        // Compliant with base RFC 4226 (HOTP)
        while (time.length() < 16) {
            time = "0" + time;
        }

        // Get the HEX in a Byte[]
        byte[] msg = hexStr2Bytes(time);
        byte[] k = hexStr2Bytes(key);
        byte[] hash = hmac_sha(crypto, k, msg);

        // put selected bytes into result int
        int offset = hash[hash.length - 1] & 0xf;

        int binary = ((hash[offset] & 0x7f) << 24)
                | ((hash[offset + 1] & 0xff) << 16)
                | ((hash[offset + 2] & 0xff) << 8) | (hash[offset + 3] & 0xff);

        int otp = binary % DIGITS_POWER[codeDigits];

        result = Integer.toString(otp);
        while (result.length() < codeDigits) {
            result = "0" + result;
        }
        return result;
    }
}

package com.wuge;

import com.wuge.google.GoogleAuthenticator;
import org.iherus.codegen.qrcode.SimpleQrcodeGenerator;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;

/**
 * 项目启动类
 *
 * @author wuge
 */
@RestController
@SpringBootApplication
public class Application {

    private static String SECRET_KEY = "";

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    /**
     * 生成 Google 密钥,两种方式任选一种
     */
    @GetMapping("getSecretKey")
    public String getSecretKey() {
        String secretKey = GoogleAuthenticator.getSecretKey();
        SECRET_KEY = secretKey;
        return secretKey;
    }

    /**
     * 生成二维码,APP直接扫描绑定,两种方式任选一种
     */
    @GetMapping("getQrcode")
    public void getQrcode(@RequestParam("name") String name, HttpServletResponse response) throws Exception {
        String secretKey = GoogleAuthenticator.getSecretKey();
        SECRET_KEY = secretKey;
        // 生成二维码内容
        String qrCodeText = GoogleAuthenticator.getQrCodeText(secretKey, name, "");
        // 生成二维码输出
        new SimpleQrcodeGenerator().generate(qrCodeText).toStream(response.getOutputStream());
    }

    /**
     * 获取code
     */
    @GetMapping("getCode")
    public String getCode() {
        return GoogleAuthenticator.getCode(SECRET_KEY);
    }

    /**
     * 验证 code 是否正确
     */
    @GetMapping("checkCode")
    public Boolean checkCode(@RequestParam("code") String code) {
        return GoogleAuthenticator.checkCode(SECRET_KEY, Long.parseLong(code), System.currentTimeMillis());
    }
}

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.1.RELEASE</version>
        <relativePath/>
    </parent>

    <repositories>
        <!-- 指定仓库地址,提升速度 -->
        <repository>
            <id>aliyun</id>
            <name>aliyun Repository</name>
            <url>http://maven.aliyun.com/nexus/content/groups/public</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
    </repositories>

    <groupId>com.asurplus</groupId>
    <artifactId>asurplus</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>asurplus</name>
    <description>Google身份验证器</description>

    <properties>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <java.version>1.8</java.version>
        <codec.version>1.15</codec.version>
        <qrext4j.version>1.3.1</qrext4j.version>
    </properties>

    <dependencies>
        <!-- web支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- 加密工具 -->
        <!--密钥生成-->
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>${codec.version}</version>
        </dependency>
        <!-- 二维码依赖 -->
        <dependency>
            <groupId>org.iherus</groupId>
            <artifactId>qrext4j</artifactId>
            <version>${qrext4j.version}</version>
        </dependency>
    </dependencies>

    <build>
        <finalName>google-auth</finalName>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

天蓝色的程序员
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
google authenticator (双重身份验证)的java使用
qq_42948241的博客
05-10 2777
#google authenticator (双重身份验证)的java使用 //Google Authenticator // 只从google出了双重身份验证后,就方便了大家,等同于有了google一个级别的安全,但是我们该怎么使用google authenticator (双重身份验证), //下面是java的算法,这样大家都可以得到根据key得到公共的秘钥了,直接复制,记得导入JAR包: // //commons-codec-1.8.jar // //junit-4.10.jar //测试方法
总结谷歌身份验证 Google Authenticator 的详细使用方法
热门推荐
03-05 8万+
谷歌身份验证Google Authenticator谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证Google Authenticator来做二次认证。 谷...
Google身份验证 Google Authenticator.apk
10-15
Google身份验证 Google Authenticator.apk,用于gitlab双重身份认证
集成Google Authenticator实现多因素认证(MFA)
最新发布
Blueeyedboy521的博客
06-03 1385
尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。
两步验证杀手锏:Java 接入 Google 身份验证实战
weixin_30294021的博客
08-22 1008
两步验证 大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。 Google身份验证一般也是用于登录进行两步验证,和苹果的两步验证是同样的道理。只不过 Google身份验证用得更多更广泛,如 GitHub 的两步验证都是基于 Google 身份验证Google Authenticato...
Google验证码生成
Xin Adn Meng
08-03 632
Google数学计算验证码生成方案
GoogleAuthenticator-java实现.zip
09-02
java服务端实现谷歌动态密码验证,包含二唯码字段,阿里身份宝的下载路径为:https://gsf-fl.softonic.com/074/0c4/ea03fa20ed5eec554966a1ceed35593b87/com.google.android.apps.authenticator2.apk?Expires=1567430436&Signature=782e243130fee09d47879339de756638449bbae3&SD;_used=&channel=WEB&fdh=no&id_file=012200c6-9b29-11e6-95c0-00163ed833e7&instance=softonic_en&type=PROGRAM&url=https://google-authenticator.en.softonic.com/android&Filename=com.google.android.apps.authenticator2.apk
java 接入Google Authenticator 双因子验证
qq_35906279的博客
07-21 1383
生成 Google Authenticator 二维码所需信息, 以及验证方法。多因子验证
Google Authenticator集成java
蜗牛也需要奔跑
12-23 1814
背景 最近公司要求所有内网未集成单点的系统做双因子验证,为了节约成本,最终选择Google Authenticator 原理 使用密钥和时间戳通过一种算法生成一个6位数字的一次性验证码 集成流程 1、下载Google Authenticator 2、生成Secret 3、用户扫描二维化进行绑定(也可以拿到密钥手动绑定) 4、输入用户名、密码、动态码 5、登录成功 集成流程图 代码 import org.apache.commons.codec.binary.Base32; import org.apa
Java实现谷歌验证
技术老鸟
07-29 1934
Java实现谷歌验证
关于Google身份验证、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7666
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
java使用google身份验证实现动态口令验证的示例
08-29
"java 使用 Google 身份验证实现动态口令验证的示例" 本篇文章主要介绍了使用 Java 语言实现 Google 身份验证实现动态口令验证的示例代码。Google 身份验证是一种基于时间的单次密码(TOTP)算法,能够生成...
谷歌身份验证(Google Authenticator)GA
01-13
简单学习下GA的生成算法,写了个小工具;当做学习记录 可以去哈勃看看: https://habo.qq.com/file/showdetail?md5=512eea7730feda2bc412df8dcfd061ef&pk=ADcGY11uB24IPls%2FU2o%3D
谷歌身份验证Google Authenticator
02-02
谷歌身份验证Google Authenticator
c#使用谷歌身份验证GoogleAuthenticator
01-08
本文将深入探讨如何在C#项目中使用谷歌身份验证Google Authenticator)来增强系统的安全性。 谷歌身份验证Google Authenticator)是一种两步验证(2-Step Verification)工具,它为用户账户提供了额外的...
网站如何经过身份验证_两步验证杀手锏:Java 接入 Google 身份验证实战
weixin_39776991的博客
12-03 410
两步验证大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。Google身份验证一般也是用于登录进行两步验证,和苹果的两步验证是同样的道理。只不过 Google身份验证用得更多更广泛,如 GitHub 的两步验证都是基于 Google 身份验证Google Authenticator 简...
Google身份验证服务端实现
Virgil_K2017的博客
04-24 3396
import org.apache.commons.codec.binary.Base32; import org.apache.commons.codec.binary.Base64; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.security.InvalidKeyException;...
谷歌身份验证的使用超详细步骤
weixin_48974246的博客
11-01 2万+
谷歌身份验证Google Authenticator谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证Google Authenticator来做二次认证,开启谷歌身份验证之后,登录账户,除了输入用户名和密码,还需要输入谷歌验证上的动态密码。4.4.扫描生成的二维码,即可。
python google auth totp_python基于谷歌身份验证的动态密码实现
05-24
Google Authenticator是一款基于TOTP算法的动态口令生成,可以生成一次性密码,用于用户的身份验证。而python google auth totp是一个基于python的库,可以实现TOTP算法和HOTP算法,用于生成动态密码。 首先,你需要安装 python google auth totp 库,可以使用 pip install google-authenticator 进行安装。 接下来,你可以使用以下代码来生成动态密码: ```python import pyotp # 生成秘钥 key = pyotp.random_base32() print("Secret Key:", key) # 生成动态密码 totp = pyotp.TOTP(key) password = totp.now() print("Password:", password) ``` 在这个例子中,我们使用 `random_base32()` 方法生成一个基于Base32编码的秘钥,然后使用 `TOTP` 类创建一个TOTP对象。最后,使用 `now()` 方法获取当前时间下的动态密码。 你可以将秘钥保存在数据库中,用于用户的身份验证。当用户登录时,获取保存在数据库中的秘钥,并使用 `TOTP` 类创建一个TOTP对象。然后,与用户输入的动态密码进行比较,如果相同,则可以认为是合法用户。 以上就是python google auth totp的基本使用方法。希望对你有所帮助!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值