六年级做的网站的软件下载,hexo wordpress 区别,Wordpress生成密码加密方式,wordpress中文主题模板目录 参考1、应用背景2、多因素认证3、谷歌google authenticator集成用法3.1、原理3.2、 MFA绑定3.2.1、 用户输入用户名密码登录3.2.2、检查是否已经绑定MFA#xff08;检查数据库是否保存该用户的google secret#xff09;3.2.3、谷歌身份证认证器扫描绑定3.2.4、手动测试验… 目录 参考1、应用背景2、多因素认证3、谷歌google authenticator集成用法3.1、原理3.2、 MFA绑定3.2.1、 用户输入用户名密码登录3.2.2、检查是否已经绑定MFA检查数据库是否保存该用户的google secret3.2.3、谷歌身份证认证器扫描绑定3.2.4、手动测试验证码 3.3、基于OTP技术的MFA认证原理如下3.4、关键代码3.4.1、调用LoginService的login方法进行登录(需传入手机上显示的6位动态验证码否则校验不被通过)3.4.2、GoogleAuthenticatorUtils提供了生成密钥、校验验证码是否和密钥匹配等功能 4、JumpServer 常用的 MFA 工具安卓版IOS版微信小程序商业产品 参考
设计一个安全性架构时 手把手教你集成Google Authenticator实现多因素认证(MFA) 身份认证之多因素认证方法 谷歌身份验证器的正确使用方法 JupmServer堡垒机之MFA知识点说明
1、应用背景
多因素认证Multi Factor Authentication简称 MFA的使用背景主要出于对账户和系统安全性的增强需求。传统的用户名和密码认证方式在面对日益复杂的网络威胁时显得不够安全因为密码可能被泄露、猜测或被暴力破解。随着攻击者拥有越来越先进的工具对更安全的认证协议的需求正在加大。多因素认证通过引入额外的认证因素提供了更强大的安全层级。同时将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向因此多因素认证解决认证安全问题是大势所趋。
2、多因素认证
多因素认证是一种简单有效的安全实践方法旨在提供两层或更多的身份验证保护。最常见的三种验证因素包括知识实体所知、持有物实体所有和固有属性实体特征。知识因素指的是用户知道的信息如安全密保问题或个人识别号码如pin码持有物因素是用户拥有的物品例如SMS密码或硬件令牌固有属性则与用户的身体特征有关如指纹或面部识别等。这种方法提高了安全性因为即使某个因素被泄露或破解攻击者仍需要其他因素才能访问用户账户或系统。尤其是在面临日益复杂的网络安全威胁时MFA的实施可以有效减少未经授权的访问提高账户安全性。 三种验证因素可以总结如下 基于实体所知的方法是最为广泛使用的方法如密码、验证码等其成本低、实现简单但同时也面临较大安全威胁如暴力破解和木马侵入等。
基于实体所有的方法是安全性较高、成本较高的一类主要应用在IC卡、门禁卡和数字签名等。但缺点是基于实体所有的方法因为存在固体实物因此会面临着损坏和被复制的风险。
基于实体特征的方法是安全性最高的一种方式通常采用生物识别方法进行验证。主要应用在指纹、虹膜、声波特征等验证方式。实体特性鉴别的准确性和效率主要取决于开发过程中的算法特征。
3、谷歌google authenticator集成用法
3.1、原理
基于OTP技术的MFA认证是指在传统的用户名密码认证的基础上增加一个额外的OTP认证。OTP是指一次性密码每个OTP只能使用一次有效期通常为30秒。
3.2、 MFA绑定
3.2.1、 用户输入用户名密码登录 3.2.2、检查是否已经绑定MFA检查数据库是否保存该用户的google secret
用户名密码登录成功后检查是否已经绑定MFA检查数据库是否保存该用户的google secret 如果未绑定则需要绑定MFA进行二次认证。 1、调用生产string secretKey GoogleAuthenticatorUtils.createSecretKey(); 并入库 2、利用谷歌库生成绑定二维码String keyUri GoogleAuthenticatorUtils.createKeyUri(secretKey, username, “Demo_System”); // Demo_System 服务标识不参与运算可任意设置
3.2.3、谷歌身份证认证器扫描绑定
前端弹出二维码用户拿移动端打开谷歌身份证认证器app点击扫描绑定
3.2.4、手动测试验证码 3.3、基于OTP技术的MFA认证原理如下
用户在登录时首先输入用户名和密码。服务器验证用户名和密码是否正确。如果用户名和密码正确前端提示输入MFA验证码。用户在绑定认证过的设备上打开谷歌身份认证器查看当前时间点生成的OTP。用户输入OTP点击确定服务器验证OTP是否正确。boolean verification GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());如果OTP正确服务器允许用户登录。
3.4、关键代码
3.4.1、调用LoginService的login方法进行登录(需传入手机上显示的6位动态验证码否则校验不被通过)
以下分享一次Spring Boot集成Goole Authenticator的案例关键性代码
Service
public class LoginServiceImpl implements LoginService {private final UserService userService;public LoginServiceImpl(UserService userService) {this.userService userService;}/*** 登录接口* param loginParam {username:用户名, password:密码, mfaCode:手机应用Google Authenticator生成的验证码}* param servletRequest* return*/Overridepublic UserVo login(LoginParam loginParam, HttpServletRequest servletRequest) {// 校验用户名和密码是否匹配User user getUserWithValidatePass(loginParam.getUsername(), loginParam.getPassword());// 验证数据库保存的密钥和输入的验证码是否匹配boolean verification GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());if (!verification) {throw new BadRequestException(验证码校验失败);}// 用户信息保存到session中servletRequest.getSession().setAttribute(user, user);UserVo userVo new UserVo();BeanUtils.copyProperties(user, userVo);return userVo;}/*** 生成二维码的Base64编码* 可以使用手机应用Google Authenticator来扫描二维码进行绑定* param username* param password* return*/Overridepublic String generateGoogleAuthQRCode(String username, String password) {// 校验用户名和密码是否匹配User user getUserWithValidatePass(username, password);String secretKey;if (StringUtils.isEmpty(user.getGoogleAuthenticatorSecret())) {secretKey GoogleAuthenticatorUtils.createSecretKey();}else {secretKey user.getGoogleAuthenticatorSecret();}// 生成二维码String qrStr;try(ByteArrayOutputStream bos new ByteArrayOutputStream()){String keyUri GoogleAuthenticatorUtils.createKeyUri(secretKey, username, Demo_System); // Demo_System 服务标识不参与运算可任意设置QRCodeUtils.writeToStream(keyUri, bos);qrStr Base64.encodeBase64String(bos.toByteArray());}catch (WriterException | IOException e) {throw new ServiceException(生成二维码失败, e);}if (StringUtils.isEmpty(qrStr)) {throw new ServiceException(生成二维码失败);}user.setGoogleAuthenticatorSecret(secretKey);userService.updateById(user);return data:image/png;base64, qrStr;}private User getUserWithValidatePass(String username, String password) {String mismatchTip 用户名或者密码不正确;// 根据用户名查询用户信息User user userService.getByUsername(username).orElseThrow(() - new BadRequestException(mismatchTip));// 比对密码是否正确String encryptPassword SecureUtil.md5(password);if (!encryptPassword.equals(user.getPassword())) {throw new BadRequestException(mismatchTip);}return user;}
}3.4.2、GoogleAuthenticatorUtils提供了生成密钥、校验验证码是否和密钥匹配等功能
public class GoogleAuthenticatorUtils {/*** 时间前后偏移量* 用于防止客户端时间不精确导致生成的TOTP与服务器端的TOTP一直不一致* 如果为0,当前时间为 10:10:15* 则表明在 10:10:00-10:10:30 之间生成的TOTP 能校验通过* 如果为1,则表明在* 10:09:30-10:10:00* 10:10:00-10:10:30* 10:10:30-10:11:00 之间生成的TOTP 能校验通过* 以此类推*/private static final int TIME_OFFSET 0;/*** 创建密钥*/public static String createSecretKey() {SecureRandom random new SecureRandom();byte[] bytes new byte[20];random.nextBytes(bytes);return Base32.encode(bytes).toLowerCase();}/*** 根据密钥获取验证码* 返回字符串是因为数值有可能以0开头* param secretKey 密钥* param time 第几个30秒 System.currentTimeMillis() / 1000 / 30*/public static String generateTOTP(String secretKey, long time) {byte[] bytes Base32.decode(secretKey.toUpperCase());String hexKey HexUtil.encodeHexStr(bytes);String hexTime Long.toHexString(time);return TOTP.generateTOTP(hexKey, hexTime, 6);}/*** 生成 Google Authenticator Key Uri* Google Authenticator 规定的 Key Uri 格式: otpauth://totp/{issuer}:{account}?secret{secret}issuer{issuer}* https://github.com/google/google-authenticator/wiki/Key-Uri-Format* 参数需要进行 url 编码 号需要替换成%20* param secret 密钥 使用 createSecretKey 方法生成* param account 用户账户 如: exampledomain.com* param issuer 服务名称 如: Google,GitHub* throws UnsupportedEncodingException*/SneakyThrowspublic static String createKeyUri(String secret, String account, String issuer) throws UnsupportedEncodingException {String qrCodeStr otpauth://totp/${issuer}:${account}?secret${secret}issuer${issuer};ImmutableMap.BuilderString, String mapBuilder ImmutableMap.builder();mapBuilder.put(account, URLEncoder.encode(account, UTF-8).replace(, %20));mapBuilder.put(secret, URLEncoder.encode(secret, UTF-8).replace(, %20));mapBuilder.put(issuer, URLEncoder.encode(issuer, UTF-8).replace(, %20));return StringSubstitutor.replace(qrCodeStr, mapBuilder.build());}/*** 校验方法** param secretKey 密钥* param totpCode TOTP 一次性密码* return 验证结果*/public static boolean verification(String secretKey, String totpCode) {long time System.currentTimeMillis() / 1000 / 30;// 优先计算当前时间,然后再计算偏移量,因为大部分情况下客户端与服务的时间一致if (totpCode.equals(generateTOTP(secretKey, time))) {return true;}for (int i -TIME_OFFSET; i TIME_OFFSET; i) {// i 0 的情况已经算过if (i ! 0) {if (totpCode.equals(generateTOTP(secretKey, time i))) {return true;}}}return false;}}
4、JumpServer 常用的 MFA 工具
安卓版
google authenticatormicrosoft authenticator阿里云 App 虚拟 MFACKEY 令牌
IOS版
google authenticatormicrosoft authenticator阿里云 app 虚拟 MFA
微信小程序
MinaOTPMFA AuthenticationCKEY 令牌
商业产品
宁盾
