两步验证是指用户登录账户的时候,除了要输入用户名和密码,还要求用户输入一个动态密码,为帐户添加了一层额外保护。这个动态密码要么是专门的硬件,要么由用户手机APP提供。即使入侵者窃取了用户密码,也会因不能使用用户手机而无法登录帐户。许多游戏客户端和网银采用这种方式。以银行为例,当用户进行转账操作时,第一步输入6位取款密码,第二步输入动态密码器上数字,这个密码器是开户时银行提供的硬件。

什么是两步验证

  两步验证,是指用户登录账户的时候,除了要输入用户名和密码,还要求用户输入一个动态密码,为帐户添加了一层额外保护。这个动态密码要么是专门的硬件,要么由用户手机APP提供。即使入侵者窃取了用户密码,也会因不能使用用户手机而无法登录帐户。许多游戏客户端和网银采用这种方式。以银行为例,当用户进行转账操作时,第一步输入6位取款密码,第二步输入动态密码器上数字,这个密码器是开户时银行提供的硬件。

动态密码原理

  客户端和服务器事先协商好一个密钥K,用于一次性密码的生成过程,此密钥不被任何第三方所知道。此外,客户端和服务器各有一个计数器C,并且事先将计数值同步。进行验证时,客户端对密钥和计数器的组合(K,C)使用HMAC(Hash-based Message Authentication Code)算法计算一次性密码,公式如下:HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))上面采用了HMAC-SHA-1,当然也可以使用HMAC-MD5等。HMAC算法得出的值位数比较多,不方便用户输入,因此需要截断(Truncate)成为一组不太长十进制数(例如6位)。计算完成之后客户端计数器C计数值加1。用户将这一组十进制数输入并且提交之后,服务器端同样的计算,并且与用户提交的数值比较,如果相同,则验证通过,服务器端将计数值C增加1。如果不相同,则验证失败。

业务流程

  如何开发这个功能呢?我们先理清它的流程:

  1. 第一步:输入常规帐号密码,验证成功后进入二次验证页面。
  2. 第二步:二次验证页面要求用户输入动态密码,用户手机必须先通过APP绑定帐号后才能获取动态密码,APP推荐eagle2fa
  3. 第三步:页面生成二维码,内容是URI地址otpauth://totp/账号?secret=密钥,用eagle2fa扫码后绑定帐号,把密钥保存在客户端,如下图所示:
  4. 第四步:输入APP上的6位数字,验证通过进入用户中心页面。
    最重要的功能是生成二维码验证动态密码

组件选型

googleauth是Google Authenticator的开源实现

    <dependency>
        <groupId>com.warrenstrange</groupId>
        <artifactId>googleauth</artifactId>
        <version>1.1.2</version>
   </dependency>

zxing用于生成二维码图片

    <dependency>
        <groupId>com.google.zxing</groupId>
        <artifactId>javase</artifactId>
        <version>3.3.3</version>
    </dependency>

也可以使用其他网站提供的的WEB API,譬如:

http://qr.liantu.com/api.php?text=x
x必须用UTF8编码格式,x内容出现&符号时用%26代替,换行符使用%0A

关键代码

以下代码演示怎么使用GoogleAuthenticator包:

    private static final GoogleAuthenticator googleAuthenticator = new GoogleAuthenticator();

    /**
     * 由于只是演示,dao没有操作数据库,真实的场景必然要持久化
     */
    @Autowired
    private UserDao userDao;

    @PostConstruct
    public void init() {
        googleAuthenticator.setCredentialRepository(new ICredentialRepository() {
            @Override
            public String getSecretKey(String userName) {
                //根据帐号查询secretKey
                return userDao.getSecretKey(userName);
            }

            @Override
            public void saveUserCredentials(String userName, String secretKey, int validationCode, List<Integer> scratchCodes) {
                //secretKey要保存在数据库中
                userDao.saveUserCredentials(userName, secretKey);
            }
        });
        log.info("GoogleAuthenticator初始化成功");
    }

以下代码是生成二维码,uri的格式不能写错。

    // 必须按照这个格式,APP才能正常绑定
    private static final String KEY_FORMAT = "otpauth://totp/%s?secret=%s";

    /**
     * 生成二维码链接
     */
    private String getQrUrl(String username) {
        //每次调用createCredentials都会生成新的secretKey
        GoogleAuthenticatorKey key = googleAuthenticator.createCredentials(username);
        log.info("username={},secretKey={}", username, key.getKey());
        return String.format(KEY_FORMAT, username, key.getKey());
    }

以下是二次验证方法:

    // 验证动态密码  username 帐号, code  app上的6位数字
    public boolean validCode(String username, int code) {
        return googleAuthenticator.authorizeUser(username, code);
    }

点击获取完整代码

参考(部分摘抄的文字版权属于原作者)

https://blog.seetee.me/post/2011/google-two-step-verification/
https://www.zhihu.com/question/20462696/answer/19670601

版权声明:本文为xiaoyangjia原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/xiaoyangjia/p/11512453.html