双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus

项目源码:https://github.com/applewld/google-authenticator-demo

一. 编程思路(实验原理)

加盐哈希:存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险。最好的办法就是对密码进行加盐哈希。在密码中混入一段“随机”的字符串再进行哈希加密,这个被字符串被称作盐值。这使得同一个密码每次都被加密为完全不同的字符串。为了校验密码是否正确,我们需要储存盐值。通常和密码哈希值一起存放在账户数据库中,或者直接存为哈希字符串的一部分。

google身份验证器:客户端和服务器事先协商好一个密钥K,用于一次性密码的生成过程,此密钥不被任何第三方所知道。此外,客户端和服务器各有一个计数器C,并且事先将计数值同步。进行验证时,客户端对密钥和计数器的组合(K,C)使用HMAC(Hash-based Message Authentication Code)算法计算一次性密码,公式如下:

上面采用了HMAC-SHA-1,当然也可以使用HMAC-MD5等。HMAC算法得出的值位数比较多,不方便用户输入,因此需要截断(Truncate)成为一组不太长十进制数(例如6位)。计算完成之后客户端计数器C计数值加1。用户将这一组十进制数输入并且提交之后,服务器端同样的计算,并且与用户提交的数值比较,如果相同,则验证通过,服务器端将计数值C增加1。如果不相同,则验证失败。

二. 实验总结

1. 核心代码分析(附关键注释

为了方便理解,按照业务流程来分析代码

1.首先用户注册账号,用户输入的注册账号和密码传到后端

对原始密码进行加盐哈希加密原始密码,同时随机生成一个用于google身份验证的密钥。后台数据库保存加密后的密码,秘密盐值,以及用于google身份验证的密钥

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第1张图片双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第2张图片

以下代码用于随机生成密钥

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第3张图片双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第4张图片双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第5张图片

2.客户端和服务器各有一个计数器C,微信小程序二次验证码扫描二维码, 将计数值同步

3.当用户进入登录页,输入账号,密码登录后,系统先对用户输入的密码进行初次验证(双因子认证,第一次认证)

以下代码是初次验证

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第6张图片

4.初次密码认证通过之后,系统会弹出弹框,要求输入口令,这个口令就是小程序中谷歌身份验证器产生的随机code(双因子认证,第二次认证)

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第7张图片

2. 实验结果

运行程序,程序运行正常,截图如下:

1.以下是系统注册页

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第8张图片

2.  输入账号密码,点击注册

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第9张图片

 

  1. 微信打开二次验证码小程序扫描二维码

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第10张图片

4.点击弹框上的关闭按钮,关闭弹框,系统进入登录页

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第11张图片

5.输入账号密码,点击登录,弹出提示弹框

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第12张图片

6.输入小程序中的令牌,登录成功

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第13张图片

7.关闭弹窗,进入系统首页

双因子认证系统登录模块 口令+盐 谷歌身份验证器 SpringBoot+MybatisPlus_第14张图片

你可能感兴趣的:(java)