Golang实现基于时间的一次性密码TOTP
上篇文章详细讲解了一次性密码 OTP 相关的知识,基于时间的一次性密码 TOTP 是 OTP 的一种实现方式。这种方法的优点是不依赖网络,因此即使在没有网络的情况下,用户也可以生成密码。所以这种方式被许多流行的网站使用到双因子或多因子认证中,包括 Google、GitHub、Facebook 和 Salesforce 等等。
因为 TOTP 是标准化的协议并且被广泛采用,所以有很多对应的移动应用或者 web 应用实现,被称为身份验证器应用,例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多优秀的三方库可以帮助我们快速实现 TOTP 的服务端实现,其中比较有代表性的是 pquerna/otp 库,接下来就使用这个库来演示一下 TOTP 的服务端实现流程。
为用户生成 TOTP Key
用户开启双因子认证时,为用户生成 TOTP Key,用于生成 TOTP 密码。将这个密码保存在数据库或者秘钥管理系统中,生成 key 的关键代码如下:
key, err := totp.Generate(totp.GenerateOpts{
Issuer: "Github",
AccountName: "user@example.com",
Period: 30,
Digits: otp.DigitsSix,
Algorithm: otp.AlgorithmSHA1,
})
这几个参数的意思如下:
Issuer 意思是应用名称,例如 Github。
AccountName 意思要给哪个用户生成 key。
Period 意思是 TOTP 密码的有效时间,也是不同 TOTP 密码的生成时间间隔,一般为 30 秒。
Digits 意思是生成的密码长度,一般为 6 位。
Algorithm,用于 HMAC 签名的算法,默认是 SHA1。
把密钥和密码生成规则分享给用户
通常是将秘钥和密码规则信息以二维码的形式展示给用户,用户使用身份验证器应用扫描二维码保存相关信息并且生成密码。二维码中的内容格式一般如下:
otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM
为用户提供“恢复码” Recovery Codes
生成“恢复码” Recovery Codes (使用随机生成的字符串即可)存储到数据库或者秘钥管理系统中。当用户不能访问自己的 TOTP 设备(例如将 TOTP 应用中的 TOTP 秘钥删除了、将 TOTP 应用卸载了、手机丢失了等)时,就无法登录自己的帐户了。因为这种情况比较常见,所以很多网站都会给用户提供“备份代码”或“恢复代码”,并且每个只能使用一次,可以临时用来代替 TOTP 密码。
校验用户输入的 TOTP 密码
用户再次登录后,触发双因子认证,要求用户输入 TOTP 密码,服务端检验这个密码。校验的关键代码如下:
// 验证一次性密码 isValid := totp.Validate(passcode, key.Secret())
模拟生成密钥、校验密码的代码
package main
import (
"fmt"
"time"
"github.com/pquerna/otp"
"github.com/pquerna/otp/totp"
)
func main() {
// 生成密钥
key, err := totp.Generate(totp.GenerateOpts{
Issuer: "Github",
AccountName: "user@example.com",
Period: 30,
Digits: otp.DigitsSix,
Algorithm: otp.AlgorithmSHA1,
})
if err != nil {
panic(err)
}
fmt.Println("Secret URL: ", key.URL())
// 模拟生成一个一次性密码
now := time.Now()
passcode, err := totp.GenerateCode(key.Secret(), now)
if err != nil {
panic(err)
}
// 验证一次性密码
valid := totp.Validate(passcode, key.Secret())
if valid {
fmt.Println("Valid passcode!")
} else {
fmt.Println("Invalid passcode!")
}
}
到此这篇关于Golang实现基于时间的一次性密码TOTP的文章就介绍到这了,更多相关Go一次性密码内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了Golang你一定要懂的连接池实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-08-08
平时在项目开发过程中少不了对错误的处理,一个好用的系统首先要确保其健壮性,不能经常发生错误就卡死之类的情况,为了让我们的程序更加健壮,我们就需要知道golang里的错误处理机制是怎么样的,这篇文章带大家一起学习,需要的朋友跟着小编一起来看看吧2024-05-05
golang pprof 监控系列 go trace统计原理与使用解析
这篇文章主要为大家介绍了golang pprof 监控系列 go trace统计原理与使用解析,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-04-04
Go的运行时系统使用了一种名为Work Stealing的调度策略来分配Goroutine到可用线程上执行,本文主要介绍了浅谈Golang的Work Stealing机制,具有一定的参考价值,感兴趣的可以了解一下2025-03-03
在互联网技术日益发展的背景下,Go语言凭借并发处理能力,在后端开发中大放异彩,本文详细介绍如何使用Go语言对接微信支付,完成支付和退款功能,包括准备工作、初始化微信支付客户端、实现支付功能,以及处理支付回调和退款等2024-10-10
Go在os中提供了文件的基本操作,包括通常意义的打开、创建、读写等操作,除此以外为了追求便捷以及性能上,Go还在io/ioutil以及bufio提供一些其他函数供开发者使用,这篇文章主要给大家介绍了关于go语言中os包用法的相关资料,需要的朋友可以参考下2024-02-02
本文主要介绍了Golang时间比较的几种方法小结,包括Before、 After、 Equal, 但是都需要转成time类型来比较,下面就一起来了解一下,感兴趣的可以了解游戏2025-06-06
本文主要介绍了Go 并发控制 errgroup.Group的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2026-04-04
本文主要介绍了300行代码实现go语言即时通讯聊天室,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2022-05-05
这篇文章主要为大家介绍了go语言代码生成器code generator的使用简单介绍,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-05-05
最新评论