使用jotp实现双因子验证

1.totp是什么

TOTP 是Time-based One-Time Password的简写，表示基于时间戳算法的一次性密码。 是时间同步，基于客户端的动态口令和动态口令验证服务器的时间比对，一般每60秒，或30秒产生一个新口令，要求客户端和服务器能够十分精确的保持正确的时钟，客户端和服务端基于时间计算的动态口令才能一致。　

适用场景

• 服务器登录动态密码验证
• 公司VPN登录双因素验证
• 银行转账动态密码
• 网银、网络游戏的实体动态口令牌
• 等基于时间有效性验证的应用场景

2. jotp java实现

OTP (One Time Password) utility in Java. To enable two-factor authentication (2FA) using HMAC-based or Time-based algorithms.

官网：https://amdelamar.com/jotp/

• pom文件引入依赖

  <dependency>
      <groupId>com.amdelamar</groupId>
      <artifactId>jotp</artifactId>
      <version>1.3.0</version>
  </dependency>
  

• 使用

  import com.amdelamar.jotp.OTP;
  import com.amdelamar.jotp.type.Type;
  
  //基于系统时间产生一个base32加密的随机密钥因子，根据密钥生成对应的验证码，验证码6位
  // Random secret Base32 with 20 bytes (160 bits) length
  // (Use this to setup 2FA for new accounts).
  String secret = OTP.randomBase32(20);
  // Returns: IM4ZL3G5Q66KW4U7PMOQVXQQH3NGOCHQ
  
  // Generate a Time-based OTP from the secret, using Unix-time
  // rounded down to the nearest 30 seconds.
  String hexTime = OTP.timeInHex(System.currentTimeMillis());
  String code = OTP.create(secret, hexTime, 6, Type.TOTP);
  

• java示例

import org.jotp.TOTP;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.*;

@Controller
public class AuthenticationController {
   

    private static final String SECRET_KEY = "mysecretkey"; // 你需要为每个用户生成一个唯一的密钥

    @GetMapping("/login")
    public String showLoginForm() {
   
        return "login";
    }

    @PostMapping("/login")
    public String authenticate(@RequestParam String username, @RequestParam String password, @RequestParam String totpToken, Model model) {
   
        boolean isAuthenticated = authenticateUser(username, password, totpToken);
        if (isAuthenticated) {
   
            return "redirect:/home";
        } else {
   
            model.addAttribute("error", "Invalid username, password, or TOTP token");
            return "login";
        }
    }

    private boolean authenticateUser(String username, String password, String totpToken) {
   
        // 验证用户名和密码
        // 在这里添加你的代码，从数据库中获取用户的凭据，并验证用户名和密码是否匹配

        // 验证TOTP令牌
        long timeWindow = 30; // TOTP令牌的时间窗口为30秒
        int tokenLength = 6; // TOTP令牌长度为6位数
        int validationWindow = 1; // 验证窗口为1个时间窗口

        long currentTimestamp = System.currentTimeMillis() / 1000L;
        long[] timeValues = {
   currentTimestamp / timeWindow};
        String[] totpValues = {
   totpToken};

        TOTP totp = new TOTP(SECRET_KEY, timeWindow, tokenLength);
        boolean isValid = totp.verify(timeValues, totpValues, validationWindow);

        return isValid;
    }

}

在以上代码中，我们首先定义了一个名为SECRET_KEY的静态常量，用于存储每个用户的TOTP密钥。然后，我们实现了一个名为showLoginForm()的GET请求处理方法，用于显示登录表单。接着，我们实现了一个名为authenticate()的POST请求处理方法，用于验证用户的凭据和TOTP令牌。如果验证成功，则将用户重定向到主页；否则，将显示一个错误消息。

在authenticateUser()方法中，我们首先验证用户名和密码是否匹配。然后，我们使用JOTP库来验证TOTP令牌是否有效。需要注意的是，在实际应用中，你需要为每个用户生成一个唯一的密钥，并将其存储在数据库中。每个TOTP令牌都是基于密钥生成的，并且只有拥有正确密钥的人才能生成有效令牌。因此，你需要确保密钥是安全的，并且不会被泄露。

3.将生成的32位base32密钥保存到手机app

这里我们使用手机应用应用商城的 google authenticator ,不需要登录。

如何安装，请参考https://support.google.com/accounts/answer/1066447?hl=zh-Hans&co=GENIE.Platform%3DAndroid Google 身份验证器

网上大多是那种看了都不知道怎么办的文章，我就当给大家扫盲了，配置好后端和前端，你就可以根据自己的动态令牌去做一些安全验证了，一码在手，天下我有！