Google Authenticator
现在越来越多的网站采用两步验证,实现方式可能有所区别,一般来说是 1+? (1 即 普通的用户名和密码, ?可能是实物如U盾、手机短信验证码或其他)。?的重点是它是一次性的(One-Time Password OTP, 即动态密码). RFC提出了针对OTP的RFC4226, 后对其进行扩展形成了RFC6328协议(增加了 HMAC-based One-Time Password (HOTP)).
Google Authenticator就是基于RFC6328的实现, 该标准名称为 Open Authentication (OATH), 与OAuth没关系.
Google Authenticator APP支持Android, iOS, BlackBerry (WindowPhone不清楚).
APP 在线 Demo:
https://daplie.github.io/browser-authenticator/ (该Demo使用Google chat服务生成二维码图片, 中国可能无法显示二维码图片)
APP & HOTP
Use steps
- 用户在手机上安装Google Authenticator APP
- 用户认证的网站提供一个二维码(即一个URL信息), 让用户扫描添加该账号
- 用户登录后即可输入该APP上显示的动态密码,网站验证该动态密码
APP生成动态密码 是独立进行的,无需联网. 网站验证过程也是独立的
二维码或URL的格式(内容)
关键是secret,其他都是一些提示信息
otpauth://TYPE/issuer:user?PARAMETERS
TYPE: hotp or totp
issuer: 发行方 <和后面的参数一致>
user: 用户账号
Parameters:
secret: 密钥
issuer: 发行方
其他可选参数, 以及各个细节内容 参见下面Google连接
该URL可以将其生成一个二维码, 用户通过APP扫描输入, 也可以手动输入user和secret
例如:
otpauth://totp/xiaowei:xiaowei@gmail.com?secret=UNYFYWFE7IN6MOAW&issuer=xiaowei
Algorithm
下面的代码采用 python3 描述
0. 生成URL上的secret
# 首先选择一个原始密钥 key, 长度在
# 然后使用base32进行编码即可, 可以省略padding符(即后面的=)
# 由于base32结果以%8对齐, 我们也可以截取编码后的8n个长度的字符作为secret
1. 生成动态密码
# 参数: secret, input = None
# 通过 secret 得到 原始密钥 key
key = b32decode(secret) # 需要对padding符进行处理
if input == None:
input = int(time.time()) // 30 # input 为次数, 30为默认密码刷新间隔值
# 然后使用 HMAC-SHA1算法计算hash
hsh = hmac.new(key, input, hashlib.sha1).digest()
# 将hsh转换成数字(默认为6位)
i = hsh[-1] & 0xf # 以最后一个字节的后4个bits为数字,作为接下来的索引
f = hsh[i:i+4] # 以i为索引, 取hsh中的4个字节
n = struct.unpack('>I', f)[0] & 0x7fffffff# 将4个字节按big-endian转换为无符号整数, 转换时去掉最高位的符号位
# 等价于 n = ((f[0] & 0x7f) << 24) | ((f[1] & 0xff) << 16) | ((f[2] & 0xff) << 8) | (f[3] & 0xff)
# 将 n % 1000000 得到6位数字, 不足补零
r = '%06d' % (n % 1000000) # r 即为 生成的动态密码
2. 校验动态密码
# 参数: secret, n, window=1
# window为时间窗口, 也就是动态密码有效的时间期限
cur_input = int(time.time()) // 30
for i in range(cur_input-(window-1)//2, cur_input + window//2 + 1): # [cur_input-(window-1)//2, cur_input + window//2]
d = generate_dynamic_code(secret, i)
if d == n:
return True
return False
3. 备注
调试时,可以使用online qrcode将URL转换为二维码
Ref:
Github上一个python2实现: rentshare
Google开源的Authenticator:Google
协议:rfc6328
CSDN上的一个中文原理描述:csdn