Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个双重身份验证,来达到提升安全级别的目的。
通过 一致算法保持手机端和服务端相同,并每30秒改变认证码。
方法说明
- GetSecret() :获取秘钥(32位字符串)
- GetCode() :获取动态码
- GetQrcode() :获取动态码二维码内容
- GetQrcodeUrl() :获取动态码二维码图片地址
- VerifyCode() :验证动态码
otp是什么知道么? 是一次性密码,简单的说,totp是基于时间的,htop是基于次数的。
秘钥生成原理(基于时间)
1、时间戳,精确到微秒,除以1000,除以30(动态6位数字每30秒变化一次)
2、对时间戳余数 hmac_sha1 编码
3、然后 base32 encode 标准编码
4、输出大写字符串,即秘钥
动态6位数字验证:
Google Authenticator会基于密钥和时间计算一个HMAC-SHA1的hash值,这个hash是160 bit的,然后将这个hash值随机取连续的4个字节生成32位整数,最后将整数取31位,再取模得到一个的整数。
这个就是Google Authenticator显示的数字。
在服务器端验证的时候,同样的方法来计算出数字,然后比较计算出来的结果和用户输入的是否一致。
操作过程
google 身份验证器其实这个也是不错的,个人比较喜欢 FreeOTP
2、添加账号、秘钥(秘钥需要通过以下程序生成:NewGoogleAuth().GetSecret())
3、登录app、网站时,填写”google身份验证器“显示的6位数字
4、服务端验证6位数字是否正确:NewGoogleAuth().VerifyCode(secret, code)
实现代码
执行代码
➜ googleAuth git:(master) ✗ go run mian.go
-----------------开启二次认证----------------------
Secret: 6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR
Code: 953279 <nil>
Qrcode otpauth://totp/testxxx@qq.com?secret=953279
QrcodeUrl https://api.qrserver.com/v1/create-qr-code/?data=otpauth%3A%2F%2Ftotp%2Ftestxxx%40qq.com%3Fsecret%3D6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR&size=200x200&ecc=M
6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR 953279
-----------------信息校验----------------------
953279 953279 <nil>
√
此时会看到生成的信息和校验信息
绑定谷歌验证器
上面生成的二维码地址,我们可以用浏览器打开
https://api.qrserver.com/v1/create-qr-code/?data=otpauth%3A%2F%2Ftotp%2Ftestxxx%40qq.com%3Fsecret%3D6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR&size=200x200&ecc=M此时用谷歌验证器扫描二维码,绑定.
这次就使用这个动态二维码和秘钥认证就行了.
431947 // 验证
bool, err := NewGoogleAuth().VerifyCode("6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR", "431947")
if bool {
fmt.Println("√")
} else {
fmt.Println("X", err)
}