Go中使用Google Authenticator

现在为了安全Google二次验证使用越来越平凡了，所以我们自己做的一些产品中，也会用到Google Authenticator。

介绍

Google Authenticator采用的算法是TOTP（Time-Based One-Time Password基于时间的一次性密码），其核心内容包括以下三点：

• 一个共享密钥（一个比特序列）；
• 当前时间输入；
• 一个签署函数。

1. 共享密钥

由服务器生成一个16位纯字母的字符串，用于在手机端上建立账户，可以手动输入，也可以生成二位维在手机上扫描
令牌的二维码的内容是一个URL：

otpauth://totp/账号名?secret=xxxxxxxxxxxxxxxx&issuer=组织名

2. 时间

服务器和手机端使用各自的时间，只要时间都是准确的，不无需与服务器做任何通信。每30秒切换一次，所以时间用的当前时间戳/30。是但为了避免时间上的误差，服务器验证的时候可以取当前一次和后面一次，一共三次判断。

3. 签署函数

签署所使用的方法是HMAC-SHA1（哈希运算消息认证码），以一个密钥和一个消息为输入，生成一个消息摘要作为输出。用共享密钥做为secret，时间戳/30做为输入值来生成20字节的SHA1值，

4. 生成6位数密码

先把SHA1的最后4个比特数用来做索引，然后用另外的4个字节进行索引。然后将它转化为标准的32bit无符号整数，最后再进行7位数(1百万)取整，就可得到6位数字了

实现

1. 手机客户端直接下载Google Authenticator

2. 服务器验证代码如下：

import (
	"crypto/hmac"
	"crypto/sha1"
	"encoding/base32"
	"strings"
	"time"
	"util/log"
)

func toBytes(value int64) []byte {
	var result []byte
	mask := int64(0xFF)
	shifts := [8]uint16{56, 48, 40, 32, 24, 16, 8, 0}
	for _, shift := range shifts {
		result = append(result, byte((value>>shift)&mask))
	}
	return result
}

func toUint32(bytes []byte) uint32 {
	return (uint32(bytes[0]) << 24) + (uint32(bytes[1]) << 16) +
		(uint32(bytes[2]) << 8) + uint32(bytes[3])
}

func oneTimePassword(key []byte, value []byte) uint32 {
	// sign the value using HMAC-SHA1
	hmacSha1 := hmac.New(sha1.New, key)
	hmacSha1.Write(value)
	hash := hmacSha1.Sum(nil)

	// We're going to use a subset of the generated hash.
	// Using the last nibble (half-byte) to choose the index to start from.
	// This number is always appropriate as it's maximum decimal 15, the hash will
	// have the maximum index 19 (20 bytes of SHA1) and we need 4 bytes.
	offset := hash[len(hash)-1] & 0x0F

	// get a 32-bit (4-byte) chunk from the hash starting at offset
	hashParts := hash[offset : offset+4]

	// ignore the most significant bit as per RFC 4226
	hashParts[0] = hashParts[0] & 0x7F

	number := toUint32(hashParts)

	// size to 6 digits
	// one million is the first number with 7 digits so the remainder
	// of the division will always return < 7 digits
	pwd := number % 1000000

	return pwd
}

// getCode 获取验证码
func getCode(secretKey string, epochSeconds int64) (code int32) {
	secretKeyUpper := strings.ToUpper(secretKey)
	key, err := base32.StdEncoding.DecodeString(secretKeyUpper)
	if err != nil {
		log.Error(err)
		return
	}

	// generate a one-time password using the time at 30-second intervals
	code = int32(oneTimePassword(key, toBytes(epochSeconds/30)))
	return
}

// 验证,传入验证key和code代码，返回验证是否成功
func CheckCode(secretKey string, code int32) bool {
        // 当前google值
        epochSeconds := time.Now().Unix()
	if getCode(secretKey, epochSeconds ) == code {
		return true
	}

	// 前30秒google值
	if getCode(secretKey, epochSeconds -30) == code {
		return true
	}

	// 后30秒google值
	if getCode(secretKey, epochSeconds +30) == code {
		return true
	}

	return false
}