集成Google Authenticator实现多因素认证(MFA)

2024-06-03 08:52

本文主要是介绍集成Google Authenticator实现多因素认证(MFA),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

  • 参考
  • 1、应用背景
  • 2、多因素认证
  • 3、谷歌google authenticator集成用法
    • 3.1、原理
    • 3.2、 MFA绑定
      • 3.2.1、 用户输入用户名密码登录
      • 3.2.2、检查是否已经绑定MFA(检查数据库是否保存该用户的google secret)
      • 3.2.3、谷歌身份证认证器扫描绑定
      • 3.2.4、手动测试验证码
    • 3.3、基于OTP技术的MFA认证原理如下:
    • 3.4、关键代码
      • 3.4.1、调用LoginService的login方法进行登录(需传入手机上显示的6位动态验证码,否则校验不被通过)
      • 3.4.2、GoogleAuthenticatorUtils提供了生成密钥、校验验证码是否和密钥匹配等功能
  • 4、JumpServer 常用的 MFA 工具
    • 安卓版:
    • IOS版:
    • 微信小程序:
    • 商业产品:

参考

设计一个安全性架构时
手把手教你集成Google Authenticator实现多因素认证(MFA)
身份认证之多因素认证方法
谷歌身份验证器的正确使用方法
JupmServer堡垒机之MFA知识点说明

1、应用背景

多因素认证(Multi Factor Authentication,简称 MFA)的使用背景主要出于对账户和系统安全性的增强需求。传统的用户名和密码认证方式在面对日益复杂的网络威胁时显得不够安全,因为密码可能被泄露、猜测或被暴力破解。随着攻击者拥有越来越先进的工具,对更安全的认证协议的需求正在加大。多因素认证通过引入额外的认证因素,提供了更强大的安全层级。同时,将“实体所有”、“实体特征”、 “实体所知”三种不同认证因素结合起来增强系统或设备的安全性是研究人员容易设想的方向,因此多因素认证解决认证安全问题是大势所趋。

2、多因素认证

多因素认证是一种简单有效的安全实践方法,旨在提供两层或更多的身份验证保护。最常见的三种验证因素包括知识(实体所知)、持有物(实体所有)和固有属性(实体特征)。知识因素指的是用户知道的信息,如安全密保问题或个人识别号码如pin码;持有物因素是用户拥有的物品,例如SMS密码或硬件令牌;固有属性则与用户的身体特征有关,如指纹或面部识别等。这种方法提高了安全性,因为即使某个因素被泄露或破解,攻击者仍需要其他因素才能访问用户账户或系统。尤其是在面临日益复杂的网络安全威胁时,MFA的实施可以有效减少未经授权的访问,提高账户安全性。
三种验证因素可以总结如下:
基于实体所知的方法是最为广泛使用的方法,如密码、验证码等,其成本低、实现简单,但同时也面临较大安全威胁如暴力破解和木马侵入等。

基于实体所有的方法是安全性较高、成本较高的一类,主要应用在IC卡、门禁卡和数字签名等。但缺点是基于实体所有的方法因为存在固体实物,因此会面临着损坏和被复制的风险。

基于实体特征的方法是安全性最高的一种方式,通常采用生物识别方法进行验证。主要应用在指纹、虹膜、声波特征等验证方式。实体特性鉴别的准确性和效率主要取决于开发过程中的算法特征。

3、谷歌google authenticator集成用法

3.1、原理

基于OTP技术的MFA认证,是指在传统的用户名密码认证的基础上,增加一个额外的OTP认证。OTP是指一次性密码,每个OTP只能使用一次,有效期通常为30秒。

3.2、 MFA绑定

3.2.1、 用户输入用户名密码登录

在这里插入图片描述

3.2.2、检查是否已经绑定MFA(检查数据库是否保存该用户的google secret)

用户名密码登录成功后,检查是否已经绑定MFA(检查数据库是否保存该用户的google secret)
如果未绑定,则需要绑定MFA进行二次认证。
1、调用生产string secretKey = GoogleAuthenticatorUtils.createSecretKey(); 并入库;
2、利用谷歌库生成绑定二维码String keyUri = GoogleAuthenticatorUtils.createKeyUri(secretKey, username, “Demo_System”); // Demo_System 服务标识不参与运算,可任意设置
在这里插入图片描述

3.2.3、谷歌身份证认证器扫描绑定

前端弹出二维码,用户拿移动端打开谷歌身份证认证器app点击扫描绑定
在这里插入图片描述

3.2.4、手动测试验证码

在这里插入图片描述

3.3、基于OTP技术的MFA认证原理如下:

  • 用户在登录时,首先输入用户名和密码。
  • 服务器验证用户名和密码是否正确。
  • 如果用户名和密码正确,前端提示输入MFA验证码。
  • 用户在绑定认证过的设备上打开谷歌身份认证器查看当前时间点生成的OTP。
  • 用户输入OTP,点击确定
  • 服务器验证OTP是否正确。boolean verification = GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());
  • 如果OTP正确,服务器允许用户登录。

3.4、关键代码

3.4.1、调用LoginService的login方法进行登录(需传入手机上显示的6位动态验证码,否则校验不被通过)

以下分享一次Spring Boot集成Goole Authenticator的案例关键性代码

@Service
public class LoginServiceImpl implements LoginService {private final UserService userService;public LoginServiceImpl(UserService userService) {this.userService = userService;}/*** 登录接口* @param loginParam {"username":"用户名", "password":"密码", "mfaCode":"手机应用Google Authenticator生成的验证码"}* @param servletRequest* @return*/@Overridepublic UserVo login(LoginParam loginParam, HttpServletRequest servletRequest) {// 校验用户名和密码是否匹配User user = getUserWithValidatePass(loginParam.getUsername(), loginParam.getPassword());// 验证数据库保存的密钥和输入的验证码是否匹配boolean verification = GoogleAuthenticatorUtils.verification(user.getGoogleAuthenticatorSecret(), loginParam.getMfaCode());if (!verification) {throw new BadRequestException("验证码校验失败");}// 用户信息保存到session中servletRequest.getSession().setAttribute("user", user);UserVo userVo = new UserVo();BeanUtils.copyProperties(user, userVo);return userVo;}/*** 生成二维码的Base64编码* 可以使用手机应用Google Authenticator来扫描二维码进行绑定* @param username* @param password* @return*/@Overridepublic String generateGoogleAuthQRCode(String username, String password) {// 校验用户名和密码是否匹配User user = getUserWithValidatePass(username, password);String secretKey;if (StringUtils.isEmpty(user.getGoogleAuthenticatorSecret())) {secretKey = GoogleAuthenticatorUtils.createSecretKey();}else {secretKey = user.getGoogleAuthenticatorSecret();}// 生成二维码String qrStr;try(ByteArrayOutputStream bos = new ByteArrayOutputStream()){String keyUri = GoogleAuthenticatorUtils.createKeyUri(secretKey, username, "Demo_System");  // Demo_System 服务标识不参与运算,可任意设置QRCodeUtils.writeToStream(keyUri, bos);qrStr = Base64.encodeBase64String(bos.toByteArray());}catch (WriterException | IOException e) {throw new ServiceException("生成二维码失败", e);}if (StringUtils.isEmpty(qrStr)) {throw new ServiceException("生成二维码失败");}user.setGoogleAuthenticatorSecret(secretKey);userService.updateById(user);return "data:image/png;base64," + qrStr;}private User getUserWithValidatePass(String username, String password) {String mismatchTip = "用户名或者密码不正确";// 根据用户名查询用户信息User user = userService.getByUsername(username).orElseThrow(() -> new BadRequestException(mismatchTip));// 比对密码是否正确String encryptPassword = SecureUtil.md5(password);if (!encryptPassword.equals(user.getPassword())) {throw new BadRequestException(mismatchTip);}return user;}
}

3.4.2、GoogleAuthenticatorUtils提供了生成密钥、校验验证码是否和密钥匹配等功能

public class GoogleAuthenticatorUtils {/*** 时间前后偏移量* 用于防止客户端时间不精确导致生成的TOTP与服务器端的TOTP一直不一致* 如果为0,当前时间为 10:10:15* 则表明在 10:10:00-10:10:30 之间生成的TOTP 能校验通过* 如果为1,则表明在* 10:09:30-10:10:00* 10:10:00-10:10:30* 10:10:30-10:11:00 之间生成的TOTP 能校验通过* 以此类推*/private static final int TIME_OFFSET = 0;/*** 创建密钥*/public static String createSecretKey() {SecureRandom random = new SecureRandom();byte[] bytes = new byte[20];random.nextBytes(bytes);return Base32.encode(bytes).toLowerCase();}/*** 根据密钥获取验证码* 返回字符串是因为数值有可能以0开头* @param secretKey 密钥* @param time 第几个30秒 System.currentTimeMillis() / 1000 / 30*/public static String generateTOTP(String secretKey, long time) {byte[] bytes =  Base32.decode(secretKey.toUpperCase());String hexKey =HexUtil.encodeHexStr(bytes);String hexTime = Long.toHexString(time);return TOTP.generateTOTP(hexKey, hexTime, "6");}/*** 生成 Google Authenticator Key Uri* Google Authenticator 规定的 Key Uri 格式: otpauth://totp/{issuer}:{account}?secret={secret}&issuer={issuer}* https://github.com/google/google-authenticator/wiki/Key-Uri-Format* 参数需要进行 url 编码 +号需要替换成%20* @param secret 密钥 使用 createSecretKey 方法生成* @param account 用户账户 如: example@domain.com* @param issuer 服务名称 如: Google,GitHub* @throws UnsupportedEncodingException*/@SneakyThrowspublic static String createKeyUri(String secret, String account, String issuer) throws UnsupportedEncodingException {String qrCodeStr = "otpauth://totp/${issuer}:${account}?secret=${secret}&issuer=${issuer}";ImmutableMap.Builder<String, String> mapBuilder = ImmutableMap.builder();mapBuilder.put("account", URLEncoder.encode(account, "UTF-8").replace("+", "%20"));mapBuilder.put("secret", URLEncoder.encode(secret, "UTF-8").replace("+", "%20"));mapBuilder.put("issuer", URLEncoder.encode(issuer, "UTF-8").replace("+", "%20"));return StringSubstitutor.replace(qrCodeStr, mapBuilder.build());}/*** 校验方法** @param secretKey 密钥* @param totpCode TOTP 一次性密码* @return 验证结果*/public static boolean verification(String secretKey, String totpCode) {long time = System.currentTimeMillis() / 1000 / 30;// 优先计算当前时间,然后再计算偏移量,因为大部分情况下客户端与服务的时间一致if (totpCode.equals(generateTOTP(secretKey, time))) {return true;}for (int i = -TIME_OFFSET; i <= TIME_OFFSET; i++) {// i == 0 的情况已经算过if (i != 0) {if (totpCode.equals(generateTOTP(secretKey, time + i))) {return true;}}}return false;}}

4、JumpServer 常用的 MFA 工具

安卓版:

  • google authenticator
  • microsoft authenticator
  • 阿里云 App 虚拟 MFA
  • CKEY 令牌

IOS版:

  • google authenticator
  • microsoft authenticator
  • 阿里云 app 虚拟 MFA

微信小程序:

  • MinaOTP
  • MFA Authentication
  • CKEY 令牌

商业产品:

  • 宁盾

这篇关于集成Google Authenticator实现多因素认证(MFA)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1026522

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

工厂ERP管理系统实现源码(JAVA)

工厂进销存管理系统是一个集采购管理、仓库管理、生产管理和销售管理于一体的综合解决方案。该系统旨在帮助企业优化流程、提高效率、降低成本,并实时掌握各环节的运营状况。 在采购管理方面,系统能够处理采购订单、供应商管理和采购入库等流程,确保采购过程的透明和高效。仓库管理方面,实现库存的精准管理,包括入库、出库、盘点等操作,确保库存数据的准确性和实时性。 生产管理模块则涵盖了生产计划制定、物料需求计划、