基于Google authentic实现的双因子登录认证系统前后台基于SSMP+Vue+Element（解决SecureRandom造成的服务器请求缓慢）

本文主要是介绍基于Google authentic实现的双因子登录认证系统前后台基于SSMP+Vue+Element（解决SecureRandom造成的服务器请求缓慢），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

用md5两次加盐密码，可以灵活更换算法- -

直接上代码地址：

JAVA后台：https://github.com/TateBrownJava/TwoFALogindemoBackend

Vue前端：https://github.com/TateBrownJava/TwoFALoginDemofrontend

-----------------------------------------------------------------------------------------------------------------------------分割线

git上的windows下跑是没有问题的，但是放到阿里云（系统是centos7）上去出现了很大的问题，主要是下面两个问题：

1.注册用户请求的时候请求缓慢，大概700-900秒才能成功加入用户表。

2.新浪邮箱并不能成功发送邮件。

1.注册用户的bug，一开始以为是nginx引起的让请求放在缓冲区，后来经过逐行调试，发现nginx并没有任何问题，是由于谷歌认证码密钥获取函数造成的缓慢，即如下函数。

 public static String generateSecretKey() {SecureRandom sr = null;try {sr = SecureRandom.getInstance(RANDOM_NUMBER_ALGORITHM);sr.setSeed(Base64.decodeBase64(SEED));byte[] buffer = sr.generateSeed(SECRET_SIZE);Base32 codec = new Base32();byte[] bEncodedKey = codec.encode(buffer);String encodedKey = new String(bEncodedKey);return encodedKey;}catch (NoSuchAlgorithmException e) {// should never occur... configuration error}return null;}

而且这个时候发现每次jar包重启后的第一次注册都是很快很快的，经过测试大概0.1s，而第二次第三次，无论是什么客户机去请求都是不行了。然后对这个函数进行逐行调试。发现获取随机数的地方耗时巨大，即这句

SecureRandom.getInstance获取安全随机数的时候速度太慢了。

关于SecureRandom

因为这个生成代码是直接大牛博客上抄来的，没什么讲究更没有深入理解，然后就去查到了解决方法，解决之后又去了解了一下随机数。

简而言之，传统的随机数大多都是根据时间生成的，并不是完全随机，所以这样的数来做密码学的随机数是既不安全的，所以有牛逼的人发明了用噪声图来产生随机数的方法，java则提供了一种强随机数，由于普通的random产生的随机数字完全是可以预测的，所以在频繁生成随机数的时候需要使用SecureRandom，它是一种强随机数，可以根据确定的算法根据实际的随机种子生成伪随机序列。这里可能会觉得奇怪，这样和random不是没区别吗，是的，但是它还利用了一系列随机事件，比如鼠标点击，键盘点击的时间，SecureRandom就变得不可预测了。

然后是SecureRandom的内置随机数算法大致分为NativePRNG和SHA1PRNG

我在这里使用了SHA1PRNG，好了具体了解这么多也够了，那么是什么造成我在linux服务器上生成随机数缓慢。

原因

SHA1PRNG根据配置执行各种操作，而在java虚拟机中，SecureRandom的source属性指定的随机源是本地jvm的种子，那么它会自动去使用本地的时间种子，然后去调用继承构造方法去对随机数进行初始化。

在这个过程中，产生器的原理是，根据entropy pool中的噪声数量评估从而产生数据。。如果entropy pool是空的话，产生评估的消耗时间是大量的。所以会造成了Tomcat的长期阻塞。

解决方法：

修改JVM配置，例如我使用的是yum安装的openjdk，只需要去java环境下的jre/lib/security/java.security这个文件中，将securerandom.source属性修改成”file:///dev/urandom”，”file:/./dev/random“，其实随便的，只要让它找不到这个文件就行了。

原理：

不让他调用这个random去进行初始化就行了。

疑问：

那么既然那么不好用，为什么要有这个，其实还是有用的，很多一次一密需要高强度密钥的场景（支付等）都需要用到这种方法。

2.新浪邮箱无法发送邮件，显示连接超时

原因：

比较简单，因为阿里云把25smtp封了。

解决方法：

没什么好讲，换阿里云邮箱就ok了，反正也免费是吧。

代码要对应变化一下，这个一搜一堆静态方法，随便ctrl v一下就好了。

 

这篇关于基于Google authentic实现的双因子登录认证系统前后台基于SSMP+Vue+Element（解决SecureRandom造成的服务器请求缓慢）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---