GIT地址：https://github.com/suyin58/otp-demo

動態(tài)碼截圖：

在對外網(wǎng)開放的后臺管理系統(tǒng)中，使用靜態(tài)口令進行身份驗證可能會存在如下問題：

（1） 為了便于記憶，用戶多選擇有特征作為密碼，所有靜態(tài)口令相比動態(tài)口令而言，容易被猜測和破解；

（2） 黑客可以從網(wǎng)上或電話線上截獲靜態(tài)密碼，如果是非加密方式傳輸，用戶認證信息可被輕易獲取；

（3） 內(nèi)部工作人員可通過合法授權(quán)取得用戶密碼而非法使用；

靜態(tài)口令根本上不能確定用戶的身份，其結(jié)果是，個人可以輕松地偽造一個假身份或者盜用一個已有使用者的身份，給企業(yè)造成巨大的經(jīng)濟和聲譽損失。本文主要介紹并實現(xiàn)了一種動態(tài)口令（OTP）的實現(xiàn)方式。

動態(tài)口令（OTP，One-Time Password）又稱一次性密碼，是使用密碼技術(shù)實現(xiàn)的在客戶端和服務器之間通過共享秘密的一種認證技術(shù)，是一種強認證技術(shù)，是增強目前靜態(tài)口令認證的一種非常方便技術(shù)手段，是一種重要的雙因素認證技術(shù)，動態(tài)口令認證技術(shù)包括客戶端用于生成口令產(chǎn)生器的，動態(tài)令牌，是一個硬件設備，和用于管理令牌及口令認證的后臺動態(tài)口令認證系統(tǒng)組成。

otp從技術(shù)來分有三種形式，時間同步、事件同步、挑戰(zhàn)/應答。

（1）時間同步

原理是基于動態(tài)令牌和動態(tài)口令驗證服務器的時間比對，基于時間同步的令牌，一般每60秒產(chǎn)生一個新口令，要求服務器能夠十分精確的保持正確的時鐘，同時對其令牌的晶振頻率有嚴格的要求，這種技術(shù)對應的終端是硬件令牌。

（2）事件同步

基于事件同步的令牌，其原理是通過某一特定的事件次序及相同的種子值作為輸入，通過HASH算法中運算出一致的密碼。

（3）挑戰(zhàn)/應答

常用于的網(wǎng)上業(yè)務，在網(wǎng)站/應答上輸入服務端下發(fā)的挑戰(zhàn)碼，動態(tài)令牌輸入該挑戰(zhàn)碼，通過內(nèi)置的算法上生成一個6/8位的隨機數(shù)字，口令一次有效，這種技術(shù)目前應用最為普遍，包括刮刮卡、短信密碼、動態(tài)令牌也有挑戰(zhàn)/應答形式。

使用阿里云身份寶（或者Google Authenticator）時間同步實現(xiàn)OTP動態(tài)口令

如上圖，是一種基于時間同步的OTP計算方式，是通過客戶端和服務器持有相同的密鑰并基于時間基數(shù)，服務端和客戶端采用相同的Hash算法，計算出長度為六位的校驗碼。當客戶端和服務端計算出的校驗碼相同是，那么驗證通過。

由于客戶端需要存儲密鑰和計算校驗碼的載體，阿里云的身份寶（或者Google 的Authenticator）提供了手機端的APP進行密鑰存儲和校驗碼計算。下面我們以這兩款客戶端為例，實現(xiàn)在應用采用OTP進行權(quán)限驗證，主要流程如下圖：

流程關(guān)鍵代碼如下，（更詳細代碼，請Git下載:https://github.com/suyin58/otp-demo）

1 用戶注冊：

1.1 生成OTP密鑰：

String secretBase32 = TotpUtil.getRandomSecretBase32(64);
oper.setOtpSk(secretBase32);

1.2 生成OTP掃描用字符串：

約定字符串格式如下：

otpauth://totp/[客戶端顯示的賬戶信息]?secret=[secretBase32]

String totpProtocalString = TotpUtil.generateTotpString(operCode, host, secretBase32);

1.3 將1.2中生成的字符串生成二維碼，通過郵件發(fā)送給用戶

String host = "otptest@wjs.com"; // 自定義

   String totpProtocalString = TotpUtil.generateTotpString(operCode, host, secretBase32);

   String filePath = f_temp;
   String fileName = Long.toString(System.currentTimeMillis()) + ".png";
   
   try{
    QRUtil.generateMatrixPic(totpProtocalString, 150, 150, filePath, fileName);
   }catch (Exception e){
    throw new RuntimeException("生成二維碼圖片失敗:" + e.getMessage());
   }


   String content = "用戶名："+operCode+"</br>"
     +"系統(tǒng)使用密碼 + 動態(tài)口令雙因素認證的方式登錄。</br>請按以下方式激活手機動態(tài)口令：</br>安卓用戶請點擊<a 
     +"</br>蘋果手機在AppStore中搜索【身份寶】（Alibaba）。下載安裝后，通過掃描以下二維碼激活動態(tài)口令。</br>"
     +"<img src=\"cid:image\">";
   EmailBaseLogic emailBaseLogic = new EmailBaseLogic();
//   String to, String title, String content, String imagePath
   emailBaseLogic.sendWithPic(email,"賬戶開立通知", content, filePath + "/" + fileName);

1.4 將用戶注冊信息與1.1的OTP密鑰存儲到數(shù)據(jù)庫中

數(shù)據(jù)存儲代碼（略）

2 客戶端工具使用

2.1 下載APP

安卓用戶下載地址：http://otp.aliyun.com/updates/shenfenbao.apk

蘋果手機在AppStore中搜索【身份寶】（Alibaba），或者Google Authenticator

2.2 掃描二維碼

使用下載的APP，掃描1.3郵件中的二維碼，客戶端獲取密鑰。APP使用密鑰基于時間算出6位校驗碼（每分鐘變化）。

1 用戶登錄

客戶端輸入登錄用戶名、用戶密碼，以及2.2客戶端工具中的6位校驗碼。

1.1 服務端根據(jù)用戶名和用戶密碼獲取用戶信息和密鑰

代碼參考略

1.2 服務端使用密鑰基于時間算出6位校驗碼

String secretHex = "";
  try {
   secretHex = HexEncoding.encode(Base32String.decode(secretBase32));
  } catch (Base32String.DecodingException e) {
   LOGGER.error("解碼" + secretBase32 + "出錯，", e);
   throw new RuntimeException("解碼Base32出錯");
  }

  long X = 30;

  String steps = "0";
  DateFormat df = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
  df.setTimeZone(TimeZone.getTimeZone("UTC"));

  long currentTime = System.currentTimeMillis() / 1000L;
  try {
   long t = currentTime / X;
   steps = Long.toHexString(t).toUpperCase();
   while (steps.length() < 16) steps = "0" + steps;

   return generateTOTP(secretHex, steps, "6",
     "HmacSHA1");
  } catch (final Exception e) {
   LOGGER.error("生成動態(tài)口令出錯：" + secretBase32, e);
   throw new RuntimeException("生成動態(tài)口令出錯");
  }

1.3 比較客戶端和客戶端校驗碼是否一致

代碼參考略

其他，Demo中的例子可以使用身份 + 密碼，先進行密碼驗證，在通過動態(tài)口令進行二次驗證，使系統(tǒng)登錄更加安全可靠。

以上就是本文的全部內(nèi)容，希望對大家的學習有所幫助，也希望大家多多支持腳本之家。