MFA多因素认证(Multi-Factor Authentication ):
一些需要身份认证的服务(如网站),为了提升安全性,通常会在账号密码登录成功后,要求用户进行第二种身份认证,以确保是正确用户登录,避免用户密码泄露了或其它原因导致用户信息泄露。
不过,用户体验就比较差,因为要登录2次嘛。
常见使用场景:
- 企业的管理后台,尤其是涉及敏感信息的系统,比如CMS客户关系管理系统、财务系统等
- 电商后台,比如亚马逊店铺管理后台,通常都要二次认证
- Git代码仓库
- 站点上用户敏感信息的查看、修改,如手机号默认隐藏中间n位,要查看必须二次认证;修改密码要二次认证等
常见的认证方式有:
- 手机短信验证码验证:把验证码通过短信发给用户,用户在该服务里(如网站)上输入该验证码并认证
- 邮箱验证码验证:把验证码通过邮件发给用户,用户输入该验证码并认证
- MFA硬件设备:给用户分配一个硬件设施,用于生成动态口令,用户输入该口令并认证
还有一种硬件设备是插入电脑即可自动认证 - MFA软件:用户在电脑或手机上安装一个软件,软件里生成动态口令,用户输入该口令并认证
- 生物识别:通过指纹、人脸识别等生物特征进行认证
- 智能卡:给用户分配一张带身份信息的卡片,用户把卡片放在服务的读卡设备上进行认证
本文只介绍网站的MFA软件接入方案,并采用手机应用进行认证。
只要是基于时间同步算法的手机应用,都可以支持,如以下应用:
- 谷歌身份验证器(google authenticator)
- 微软身份验证器(Microsoft Authenticator)
注:这种动态口令认证,通常也称之为OTP-Code(One-time Password)、OTP令牌、两步验证、二次认证、2FA等。
前端与后端的交互流程如下:
后端提供3个接口:
- 账号密码登录接口
- 该账号是否绑定过SecureKey的接口
- 二次验证码校验接口
完整交互流程图参考如下:
SpringBoot项目接入实现
假设已经创建了SpringBoot项目。
添加依赖
打开pom.xml文件,添加如下依赖:
<!-- 用于SecureKey生成 -->
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
</dependency>
<!-- 用于二维码生成 -->
<dependency>
<groupId>com.google.zxing</groupId>
<artifactId>core</artifactId>
<version>3.5.1</version>
</dependency>
<dependency>
<groupId>com.google.zxing</groupId>
<artifactId>javase</artifactId>
<version>3.5.1</version>
</dependency>
SecureKey生成与验证码生成比对类
这个是核心实现类,主要功能:
- 生成随机的SecureKey,用于外部业务绑定到指定账号,也用于后续的验证码生成
- 根据SecureKey和系统时间,生成相应的验证码
代码参考:
package beinet.cn.googleauthenticatordemo.authenticator;
import org.apache.commons.codec.binary.Base32;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
public class GoogleGenerator {
// 发行者(项目名),可为空,注:不允许包含冒号
public static final String ISSUER = "beinet.cn";
// 生成的key长度( Generate secret key length)
public static final int SECRET_SIZE = 32;
// Java实现随机数算法
public static final String RANDOM_NUMBER_ALGORITHM = "SHA1PRNG";
// 最多可偏移的时间, 假设为2,表示计算前面2次、当前时间、后面2次,共5个时间内的验证码
static int window_size = 1; // max 17
static long second_per_size = 30L;// 每次时间长度,默认30秒
/**
* 生成一个SecretKey,外部绑定到用户
*
* @return SecretKey
*/
public static String generateSecretKey() {
SecureRandom sr;
try {
sr = SecureRandom.getInstance(RANDOM_NUMBER_ALGORITHM);
sr.setSeed(getSeed());
byte[] buffer = sr.generateSeed(SECRET_SIZE);
Base32 codec = new Base32();
byte[] bEncodedKey = codec.encode(buffer);
String ret = new String(bEncodedKey);
return ret.replaceAll("=+$", "");// 移除末尾的等号
} catch (NoSuchAlgorithmException e) {
// should never occur... configuration error
throw new RuntimeException(e);
}
}
/**
* 生成二维码所需的字符串,注:这个format不可修改,否则会导致身份验证器无法识别二维码
*
* @param user 绑定到的用户名
* @param secret 对应的secretKey
* @return 二维码字符串
*/
public static String getQRBarcode(String user, String secret) {
if (ISSUER != null) {
if (ISSUER.contains(":")) {
throw new IllegalArgumentException("Issuer cannot contain the ':' character.");
}
user = ISSUER + ":" + user;
}
String format = "otpauth://totp/%s?secret=%s";
String ret = String.format(format, user, secret);
if (ISSUER != null) {
ret += "&issuer=" + ISSUER;
}
return ret;
}
/**
* 验证用户提交的code是否匹配
*
* @param secret 用户绑定的secretKey
* @param code 用户输入的code
* @return 匹配成功与否
*/
public static boolean checkCode(String secret, int code) {
Base32 codec = new Base32();
byte[] decodedKey = codec.decode(secret);
// convert unix msec time into a 30 second "window"
// this is per the TOTP spec (see the RFC for details)
long timeMsec = System.currentTimeMillis();
long t = (timeMsec / 1000L) / second_per_size;
// Window is used to check codes generated in the near past.
// You can use this value to tune how far you're willing to go.
for (int i = -window_size; i <= window_size; ++i) {
int hash;
try {
hash = verifyCode(decodedKey, t + i);
} catch (Exception e) {
// Yes, this is bad form - but
// the exceptions thrown would be rare and a static
// configuration problem
e.printStackTrace();
throw new RuntimeException(e.getMessage());
// return false;
}
System.out.println("input code=" + code + "; count hash=" + hash);
if (code == hash) {
// addZero(hash)
return true;
}
/* if (code==hash ) {
return true;
}*/
}
// The validation code is invalid.
return false;
}
private static int verifyCode(byte[] key, long t) throws NoSuchAlgorithmException, InvalidKeyException {
byte[] data = new byte[8];
long value = t;
for (int i = 8; i-- > 0; value >>>= 8) {
data[i] = (byte) value;
}
SecretKeySpec signKey = new SecretKeySpec(key, "HmacSHA1");
Mac mac = Mac.getInstance("HmacSHA1");
mac.init(signKey);
byte[] hash = mac.doFinal(data);
int offset = hash[20 - 1] & 0xF;
// We're using a long because Java hasn't got unsigned int.
long truncatedHash = 0;
for (int i = 0; i < 4; ++i) {
truncatedHash <<= 8;
// We are dealing with signed bytes:
// we just keep the first byte.
truncatedHash |= (hash[offset + i] & 0xFF);
}
truncatedHash &= 0x7FFFFFFF;
truncatedHash %= 1000000;
return (int) truncatedHash;
}
private static byte[] getSeed() {
String str = ISSUER + System.currentTimeMillis() + ISSUER;
return str.getBytes(StandardCharsets.UTF_8);
}
}
业务服务类实现
用于封装2个方法:
- 输入账号,为该账号生成并绑定SecureKey入库,同时返回谷歌身份验证器所需的二维码URL
- 输入账号和验证码,获取该账号对应的SecureKey,并计算当前时间的验证码,与输入的验证码进行比对,返回成功与否
参考实现:
package beinet.cn.googleauthenticatordemo.authenticator;
import org.springframework.stereotype.Service;
import org.springframework.util.StringUtils;
import java.util.HashMap;
import java.util.Map;
@Service
public class AuthenticatorService {
private Map<String, String> userKeys = new HashMap<>();
/**
* 生成一个secretKey,并关联到用户,
* 然后返回二维码字符串
*
* @param username 用户名
* @return 二维码字符串
*/
public String generateAuthUrl(String username) {
String secret = GoogleGenerator.generateSecretKey();
// todo: 实际项目中,用户名与secretKey的关联关系应当存储在数据库里,否则变化了,就会无法登录
userKeys.put(username, secret);
return GoogleGenerator.getQRBarcode(username, secret);
}
/**
* 根据用户名和输入的code,进行校验并返回成功失败
*
* @param username 用户名
* @param code 输入的code
* @return 校验成功与否
*/
public boolean validateCode(String username, int code) {
// todo: 从数据库里读取该用户的secretKey
String secret = userKeys.get(username);
if (!StringUtils.hasLength(secret)) {
throw new RuntimeException("该用户未使用Google身份验证器注册,请先注册");
}
return GoogleGenerator.checkCode(secret, code);
}
}
登录流程嵌入
这个根据实际代码进行修改,比如前后端分离的项目:
- 前端页面在登录成功时,增加代码:
- 判断当前用户是否绑定过,未绑定时,显示二维码让用户绑定
- 弹出OTPCode输入界面,二次验证成功再跳转正常业务页
- 后端业务接口,需要判断2个Cookie都存在时才进入,少一个都要返回登录失败
完整Demo代码
- 使用上面的代码实现的,带登录+二次验证的完整代码参考:
https://github.com/youbl/study/tree/master/study-codes/google-authenticator-demo
可以查看该目录的历史提交记录,了解每个步骤做了哪些动作
手机应用下载
Google Authenticator下载
使用比较简单,手机上无需登录,可直接打开。
- 苹果版本下载地址:
https://apps.apple.com/cn/app/google-authenticator/id388497605 - 安卓版本下载地址:
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en_US - 国内无法访问谷歌市场的,可以去这里下载apk安装:
https://apkpure.com/cn/google-authenticator/com.google.android.apps.authenticator2
Microsoft Authenticator下载
有一定安全性,需要进行密码或指纹验证,才能打开。