kuD28資訊網——每日最新資訊28at.com

什么是一次性密碼 OTP ？

一次性密碼（One Time Password），簡稱 OTP，是只能使用一次的密碼。每次做身份認證時都會生成一個新的密碼，在使用一次之后立即失效，不能重復使用。這種密碼只能使用一次，因此即使攻擊者能夠竊取到密碼，也無法再次使用該密碼進行身份認證。kuD28資訊網——每日最新資訊28at.com

一次性密碼的優點

• 安全性高，一次性密碼只能使用一次，所以即使攻擊者能夠截獲密碼，也無法再次使用該密碼進行第二次認證。
• 易于使用，一次性密碼通常是通過短信、電子郵件或專用的身份驗證應用程序發送給用戶的，通常是4到8位的數字、字母或數字字母組合，用戶只需要輸入收到的密碼并且很方便輸入。
• 無需記憶，與傳統的靜態密碼不同，用戶不需要記住一次性密碼，降低了用戶的認知負擔，并減少了因忘記密碼而導致的問題。

接下來看一下一次性密碼實現的幾種方式。kuD28資訊網——每日最新資訊28at.com

基于時間的一次性密碼（Time-based One-Time Password，TOTP）

密碼的有效性依賴當前的時間，每個密碼都有一個固定的有效期，例如30秒或60秒。在這個時間窗口結束后，密碼會自動失效，系統會生成一個新的密碼。kuD28資訊網——每日最新資訊28at.com

這種方法的優點是不依賴于網絡連接，因此即使在沒有網絡連接的情況下，用戶也可以生成密碼。這種方法的缺點是對時間的同步要求較高，需要客戶端和服務器之間的時間保持精確同步，并且用戶必須在指定的時間窗口內輸入密碼，否則密碼就會失效。kuD28資訊網——每日最新資訊28at.com

基于哈希的一次性密碼（Hash-based One-Time Password，HOTP）

密碼的生成依賴一個密鑰和一個計數器。每當用戶請求一個新的密碼時，計數器就會增加，然后使用哈希函數和密鑰生成一個新的密碼。這種方法的優點是不依賴時間，因此用戶可以在任何時間輸入密碼。相應的缺點是如果計數器的值在服務器和用戶設備之間不同步，就可能導致問題。kuD28資訊網——每日最新資訊28at.com

基于短信的一次性密碼（SMS-based One-Time Password，SOTP）

密碼需要通過短信發送給用戶，當用戶需要進行身份認證時，系統會發送一個密碼到用戶的手機。這種方法的優點是很方便直觀，相應的缺點是依賴手機網絡，如果用戶沒有手機信號或者手機被盜，就無法接收密碼。此外，這種方法也容易受到短信劫持的攻擊。kuD28資訊網——每日最新資訊28at.com

基于電子郵件的一次性密碼（Email-based One-Time Password，EOTP）

密碼通過電子郵件發送給用戶。與基于短信的一次性密碼類似，這種方法的優點是很容易理解和使用。相應的缺點是依賴電子郵件，如果用戶無法訪問自己的電子郵件，就無法接收密碼。此外，這種方法也容易受到電子郵件劫持的攻擊。kuD28資訊網——每日最新資訊28at.com

理論上來說，一次性密碼是最安全的。但目前還沒有理想的一次性密碼的實現方式，大多數情況下，一次性密碼的使用場景還是用于輔助身份認證。kuD28資訊網——每日最新資訊28at.com

因為 TOTP 是標準化的協議并且被廣泛采用，所以有很多對應的移動應用或者 web 應用實現，被稱為身份驗證器應用，例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多優秀的三方庫可以幫助我們快速實現 TOTP 的服務端實現，其中比較有代表性的是 pquerna/otp 庫，接下來就使用這個庫來演示一下 TOTP 的服務端實現流程。kuD28資訊網——每日最新資訊28at.com

為用戶生成 TOTP Key

用戶開啟雙因子認證時，為用戶生成 TOTP Key，用于生成 TOTP 密碼。將這個密碼保存在數據庫或者秘鑰管理系統中，生成 key 的關鍵代碼如下：kuD28資訊網——每日最新資訊28at.com

key, err := totp.Generate(totp.GenerateOpts{		Issuer:      "Github",		AccountName: "user@example.com",		Period:      30,		Digits:      otp.DigitsSix,    Algorithm: otp.AlgorithmSHA1,	})

這幾個參數的意思如下：kuD28資訊網——每日最新資訊28at.com

• Issuer 意思是應用名稱，例如 Github。
• AccountName 意思要給哪個用戶生成 key。
• Period 意思是 TOTP 密碼的有效時間，也是不同 TOTP 密碼的生成時間間隔，一般為 30 秒。
• Digits 意思是生成的密碼長度，一般為 6 位。
• Algorithm，用于 HMAC 簽名的算法，默認是 SHA1。

把密鑰和密碼生成規則分享給用戶

通常是將秘鑰和密碼規則信息以二維碼的形式展示給用戶，用戶使用身份驗證器應用掃描二維碼保存相關信息并且生成密碼。二維碼中的內容格式一般如下：kuD28資訊網——每日最新資訊28at.com

otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JMkuD28資訊網——每日最新資訊28at.com

為用戶提供“恢復碼” Recovery Codes

生成“恢復碼” Recovery Codes （使用隨機生成的字符串即可）存儲到數據庫或者秘鑰管理系統中。當用戶不能訪問自己的 TOTP 設備（例如將 TOTP 應用中的 TOTP 秘鑰刪除了、將 TOTP 應用卸載了、手機丟失了等）時，就無法登錄自己的帳戶了。因為這種情況比較常見，所以很多網站都會給用戶提供“備份代碼”或“恢復代碼”，并且每個只能使用一次，可以臨時用來代替 TOTP 密碼。kuD28資訊網——每日最新資訊28at.com

校驗用戶輸入的 TOTP 密碼

用戶再次登錄后，觸發雙因子認證，要求用戶輸入 TOTP 密碼，服務端檢驗這個密碼。校驗的關鍵代碼如下：kuD28資訊網——每日最新資訊28at.com

// 驗證一次性密碼isValid := totp.Validate(passcode, key.Secret())

模擬生成密鑰、校驗密碼的代碼

package mainimport (	"fmt"	"time"	"github.com/pquerna/otp"	"github.com/pquerna/otp/totp")func main() {	// 生成密鑰	key, err := totp.Generate(totp.GenerateOpts{		Issuer:      "Github",		AccountName: "user@example.com",		Period:      30,		Digits:      otp.DigitsSix,		Algorithm:   otp.AlgorithmSHA1,	})	if err != nil {		panic(err)	}	fmt.Println("Secret URL: ", key.URL())	// 模擬生成一個一次性密碼	now := time.Now()	passcode, err := totp.GenerateCode(key.Secret(), now)	if err != nil {		panic(err)	}	// 驗證一次性密碼	valid := totp.Validate(passcode, key.Secret())	if valid {		fmt.Println("Valid passcode!")	} else {		fmt.Println("Invalid passcode!")	}}

本文鏈接：http://www.www897cc.com/showinfo-26-81255-0.html使用 Golang 實現基于時間的一次性密碼 TOTP

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 聊一聊 NPM 依賴管理的復雜性

下一篇： 為什么有 HTTPS？因為 HTTP 不安全！HTTPS 如何實現安全通信？