现在为了安全Google二次验证使用越来越平凡了,所以我们自己做的一些产品中,也会用到Google Authenticator。
介绍
Google Authenticator采用的算法是TOTP(Time-Based One-Time Password基于时间的一次性密码),其核心内容包括以下三点:
- 一个共享密钥(一个比特序列);
- 当前时间输入;
- 一个签署函数。
- 共享密钥
由服务器生成一个16位纯字母的字符串,用于在手机端上建立账户,可以手动输入,也可以生成二位维在手机上扫描
令牌的二维码的内容是一个URL:
otpauth://totp/账号名?secret=xxxxxxxxxxxxxxxx&issuer=组织名- 时间
服务器和手机端使用各自的时间,只要时间都是准确的,不无需与服务器做任何通信。每30秒切换一次,所以时间用的当前时间戳/30。是但为了避免时间上的误差,服务器验证的时候可以取当前一次和后面一次,一共三次判断。 - 签署函数
签署所使用的方法是HMAC-SHA1(哈希运算消息认证码),以一个密钥和一个消息为输入,生成一个消息摘要作为输出。用共享密钥做为secret,时间戳/30做为输入值来生成20字节的SHA1值, - 生成6位数密码
先把SHA1的最后4个比特数用来做索引,然后用另外的4个字节进行索引。然后将它转化为标准的32bit无符号整数,最后再进行7位数(1百万)取整,就可得到6位数字了实现
- 手机客户端直接下载Google Authenticator
- 服务器验证代码如下:
import (
"crypto/hmac"
"crypto/sha1"
"encoding/base32"
"strings"
"time"
"util/log"
)
func toBytes(value int64) []byte {
var result []byte
mask := int64(0xFF)
shifts := [8]uint16{56, 48, 40, 32, 24, 16, 8, 0}
for _, shift := range shifts {
result = append(result, byte((value>>shift)&mask))
}
return result
}
func toUint32(bytes []byte) uint32 {
return (uint32(bytes[0]) << 24) + (uint32(bytes[1]) << 16) +
(uint32(bytes[2]) << 8) + uint32(bytes[3])
}
func oneTimePassword(key []byte, value []byte) uint32 {
// sign the value using HMAC-SHA1
hmacSha1 := hmac.New(sha1.New, key)
hmacSha1.Write(value)
hash := hmacSha1.Sum(nil)
// We're going to use a subset of the generated hash.
// Using the last nibble (half-byte) to choose the index to start from.
// This number is always appropriate as it's maximum decimal 15, the hash will
// have the maximum index 19 (20 bytes of SHA1) and we need 4 bytes.
offset := hash[len(hash)-1] & 0x0F
// get a 32-bit (4-byte) chunk from the hash starting at offset
hashParts := hash[offset : offset+4]
// ignore the most significant bit as per RFC 4226
hashParts[0] = hashParts[0] & 0x7F
number := toUint32(hashParts)
// size to 6 digits
// one million is the first number with 7 digits so the remainder
// of the division will always return < 7 digits
pwd := number % 1000000
return pwd
}
// getCode 获取验证码
func getCode(secretKey string, epochSeconds int64) (code int32) {
secretKeyUpper := strings.ToUpper(secretKey)
key, err := base32.StdEncoding.DecodeString(secretKeyUpper)
if err != nil {
log.Error(err)
return
}
// generate a one-time password using the time at 30-second intervals
code = int32(oneTimePassword(key, toBytes(epochSeconds/30)))
return
}
// 验证,传入验证key和code代码,返回验证是否成功
func CheckCode(secretKey string, code int32) bool {
// 当前google值
epochSeconds := time.Now().Unix()
if getCode(secretKey, epochSeconds ) == code {
return true
}
// 前30秒google值
if getCode(secretKey, epochSeconds -30) == code {
return true
}
// 后30秒google值
if getCode(secretKey, epochSeconds +30) == code {
return true
}
return false
}
