Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个双重身份验证,来达到提升安全级别的目的。
通过 一致算法保持手机端和服务端相同,并每30秒改变认证码。
方法说明
- GetSecret() :获取秘钥(32位字符串)
- GetCode() :获取动态码
- GetQrcode() :获取动态码二维码内容
- GetQrcodeUrl() :获取动态码二维码图片地址
- VerifyCode() :验证动态码
otp是什么知道么? 是一次性密码,简单的说,totp是基于时间的,htop是基于次数的。
秘钥生成原理(基于时间)
1、时间戳,精确到微秒,除以1000,除以30(动态6位数字每30秒变化一次)
2、对时间戳余数 hmac_sha1 编码
3、然后 base32 encode 标准编码
4、输出大写字符串,即秘钥
动态6位数字验证:
Google Authenticator会基于密钥和时间计算一个HMAC-SHA1的hash值,这个hash是160 bit的,然后将这个hash值随机取连续的4个字节生成32位整数,最后将整数取31位,再取模得到一个的整数。
这个就是Google Authenticator显示的数字。
在服务器端验证的时候,同样的方法来计算出数字,然后比较计算出来的结果和用户输入的是否一致。
操作过程
1、下载 google 身份验证器
其实这个也是不错的,个人比较喜欢 FreeOTP
2、添加账号、秘钥(秘钥需要通过以下程序生成:NewGoogleAuth().GetSecret())
3、登录app、网站时,填写”google身份验证器“显示的6位数字
4、服务端验证6位数字是否正确:NewGoogleAuth().VerifyCode(secret, code)
实现代码
package main
import (
"bytes"
"crypto/hmac"
"crypto/sha1"
"encoding/base32"
"encoding/binary"
"fmt"
"net/url"
"strings"
"time"
)
type GoogleAuth struct {
}
func NewGoogleAuth() *GoogleAuth {
return &GoogleAuth{}
}
func (this *GoogleAuth) un() int64 {
return time.Now().UnixNano() / 1000 / 30
}
func (this *GoogleAuth) hmacSha1(key, data []byte) []byte {
h := hmac.New(sha1.New, key)
if total := len(data); total > 0 {
h.Write(data)
}
return h.Sum(nil)
}
func (this *GoogleAuth) base32encode(src []byte) string {
return base32.StdEncoding.EncodeToString(src)
}
func (this *GoogleAuth) base32decode(s string) ([]byte, error) {
return base32.StdEncoding.DecodeString(s)
}
func (this *GoogleAuth) toBytes(value int64) []byte {
var result []byte
mask := int64(0xFF)
shifts := [8]uint16{56, 48, 40, 32, 24, 16, 8, 0}
for _, shift := range shifts {
result = append(result, byte((value>>shift)&mask))
}
return result
}
func (this *GoogleAuth) toUint32(bts []byte) uint32 {
return (uint32(bts[0]) << 24) + (uint32(bts[1]) << 16) +
(uint32(bts[2]) << 8) + uint32(bts[3])
}
func (this *GoogleAuth) oneTimePassword(key []byte, data []byte) uint32 {
hash := this.hmacSha1(key, data)
offset := hash[len(hash)-1] & 0x0F
hashParts := hash[offset : offset+4]
hashParts[0] = hashParts[0] & 0x7F
number := this.toUint32(hashParts)
return number % 1000000
}
// 获取秘钥
func (this *GoogleAuth) GetSecret() string {
var buf bytes.Buffer
binary.Write(&buf, binary.BigEndian, this.un())
return strings.ToUpper(this.base32encode(this.hmacSha1(buf.Bytes(), nil)))
}
// 获取动态码
func (this *GoogleAuth) GetCode(secret string) (string, error) {
secretUpper := strings.ToUpper(secret)
secretKey, err := this.base32decode(secretUpper)
if err != nil {
return "", err
}
number := this.oneTimePassword(secretKey, this.toBytes(time.Now().Unix()/30))
return fmt.Sprintf("%06d", number), nil
}
// 获取动态码二维码内容
func (this *GoogleAuth) GetQrcode(user, secret string) string {
return fmt.Sprintf("otpauth://totp/%s?secret=%s", user, secret)
}
// 获取动态码二维码图片地址,这里是第三方二维码api
func (this *GoogleAuth) GetQrcodeUrl(user, secret string) string {
qrcode := this.GetQrcode(user, secret)
width := "200"
height := "200"
data := url.Values{}
data.Set("data", qrcode)
return "https://api.qrserver.com/v1/create-qr-code/?" + data.Encode() + "&size=" + width + "x" + height + "&ecc=M";
}
// 验证动态码
func (this *GoogleAuth) VerifyCode(secret, code string) (bool, error) {
_code, err := this.GetCode(secret)
fmt.Println(_code, code, err)
if err != nil {
return false, err
}
return _code == code, nil
}
var err error
func main() {
fmt.Println("-----------------开启二次认证----------------------")
user := "testxxx@qq.com"
secret, code := initAuth(user)
fmt.Println(secret, code)
fmt.Println("-----------------信息校验----------------------")
// secret最好持久化保存在
// 验证,动态码(从谷歌验证器获取或者freeotp获取)
bool, err := NewGoogleAuth().VerifyCode(secret, code)
if bool {
fmt.Println("√")
} else {
fmt.Println("X", err)
}
}
// 开启二次认证
func initAuth(user string) (secret, code string) {
// 秘钥
secret = NewGoogleAuth().GetSecret()
fmt.Println("Secret:", secret)
// 动态码(每隔30s会动态生成一个6位数的数字)
code, err := NewGoogleAuth().GetCode(secret)
fmt.Println("Code:", code, err)
// 用户名
qrCode := NewGoogleAuth().GetQrcode(user, code)
fmt.Println("Qrcode", qrCode)
// 打印二维码地址
qrCodeUrl := NewGoogleAuth().GetQrcodeUrl(user, secret)
fmt.Println("QrcodeUrl", qrCodeUrl)
return
}
执行代码
➜ googleAuth git:(master) ✗ go run mian.go
-----------------开启二次认证----------------------
Secret: 6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR
Code: 953279 <nil>
Qrcode otpauth://totp/testxxx@qq.com?secret=953279
QrcodeUrl https://api.qrserver.com/v1/create-qr-code/?data=otpauth%3A%2F%2Ftotp%2Ftestxxx%40qq.com%3Fsecret%3D6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR&size=200x200&ecc=M
6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR 953279
-----------------信息校验----------------------
953279 953279 <nil>
√
此时会看到生成的信息和校验信息
绑定谷歌验证器
上面生成的二维码地址,我们可以用浏览器打开
https://api.qrserver.com/v1/create-qr-code/?data=otpauth%3A%2F%2Ftotp%2Ftestxxx%40qq.com%3Fsecret%3D6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR&size=200x200&ecc=M
// 验证
bool, err := NewGoogleAuth().VerifyCode("6TX3ZR67VATFNZXEKLTC4LEY6CWJGGVR", "431947")
if bool {
fmt.Println("√")
} else {
fmt.Println("X", err)
}