问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

使用OTP动态令牌认证

创作时间:
作者:
@小白创作中心

使用OTP动态令牌认证

引用
CSDN
1.
https://blog.csdn.net/weixin_44153121/article/details/143745972

OTP(一次性密码)动态令牌认证是一种增强账户安全性的技术,通过在传统用户名+密码认证的基础上,增加基于时间或计数器的一次性密码验证,有效防止账号被冒用或盗用。本文将详细介绍OTP的原理、使用方法,并提供具体的服务器端和客户端代码实现。

1、什么是OTP动态令牌认证?

OTP(One-Time Password)是一种基于共享密钥和时间戳算法的一次性密码。一般每30或60秒产生一个新口令,在客户端的动态口令和服务器的动态口令验证时,要求客户端和服务器能够保持一致的时间,计算的动态口令才能一致。

OTP算法是公开的,所以可以使用市面上任意一种支持OTP的客户端。实现OTP的算法主要有两种:

  • HOTP(HMAC-Based One-Time Password Algorithm):基于 HMAC 的一次性密码。
  • TOTP(Time-Based One-Time Password Algorithm):基于时间戳的一次性密码。

2、怎么使用OTP动态口令?

2.1、OTP客户端

在手机的应用商店搜索:身份验证器,建议选择微软的Authenticator;或者在微信小程序中搜索:腾讯身份验证器。

2.2、添加账号:基本原理是设置共享密钥(key),一般通过扫描二维码方式

二维码内容的格式如下:

otpauth://totp/{label}?secret={secret}&issuer={issuer}

label可以填写用户的名字,secret是经过 Base32 编码后的密钥,issuer是发行者

示例:

otpauth://totp/GitHub:monchickey?secret=EPKCRBXZHDPHOOZH&issuer=GitHub

前面的 otpauth 表示协议,totp 表示采用基于时间的一次性密码,GitHub 说明发行者是 GitHub,后面的格式就是:<用户名>?secret=<密钥 base32 值>&issuer=<发行者>。

包含中文的示例:

otpauth://totp/%E5%8…%B7%20123?secret=EPKCRBXZHDPHOOZH&issuer=%E9…%BF%9D

注:帐号对应的密钥是OTP令牌生成的唯一标识,请勿分享给他人。

2.3、打开身份验证器客户端,查看OTP动态口令

3、示例

3.1、服务器端代码

class OtpServer(object):
    def __init__(self, key):
        if key:
            # base64.b64encode(key.encode('utf-8')).decode('utf-8')
            self.key = key
        else:
            self.key = None
    def verify(self, code):
        """
        验证动态口令
        """
        if self.key is None or code is None or len(code) < 0:
            return False
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            # 当前时间前后刷新周期数(验证码数),防止因网速、用户操作速度等导致的时间不一致
            return otp.verify(code, valid_window=5)
        except Exception as ex:
            return False
    def showqr(self):
        """
        生成二维码,用于OTP客户端扫描方式添加账号
        """
        if self.key is None:
            return ''
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            # otpauth://TYPE/LABEL?PARAMETERS
            uri = otp.provisioning_uri(name='MyTestTOTP', issuer_name='OTP令牌')
            return uri
        except Exception as ex:
            return False

3.2、客户端代码

class OtpClient(object):
    def __init__(self, key):
        if key:
            self.key = key
        else:
            self.key = None
    def create_totp(self):
        if self.key is None:
            return ''
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            code = otp.now()
            print(code)
            return code
        except Exception as ex:
            return None

3.3、模拟使用代码

客户端生成动态口令(微软身份验证器不让截屏,其实不用写代码),服务器端验证口令是否合法

if __name__ == '__main__':
    c = OtpClient('MyTestSecret')
    print(c.create_totp())
    s = OtpServer('MyTestSecret')
    code = input('input code:')
    print(s.verify(code))

结果为True说明验证通过

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号