2

我正在寻找一个简单的 Perl 实现来验证使用服务器端密钥创建的 Google 身份验证器令牌。例如,

以下 Google URL 允许您将 base32 格式的服务器密码(在以下情况下密码为e4ytonjeim4hcsrhja5fe5kqfu)编码为可以从 Google 身份验证器应用程序读取的 QR 码(见下图):
https://chart.googleapis。 com/chart?cht=qr&chs=100x100&chl=otpauth%3A%2F%2Ftotp%2Fmysite%3A29%3Fsecret%3De4ytonjeim4hcsrhja5fe5kqfu%26issuer%3Dmysite

将 QR 码扫描到身份验证器应用程序后,它会生成如下令牌:716340。如何验证令牌的正确性?

这个问题是这个 Python 问题的 Perl 等价物: Google Authenticator implementation in Python

4

4 回答 4

8

这是另一种解决方案,您可以验证它是否与本示例中生成的令牌匹配

use Authen::OATH;
use Convert::Base32;
my $oath = Authen::OATH->new();
my $secret = "JBSWY3DPEHPK3PXP";
my $otp = $oath->totp(  decode_base32( $secret ) );
print $otp."\n";
于 2014-09-12T04:27:56.527 回答
6

好的,这花了一点时间,但我有一个 Perl 解决方案(希望这可以弥补这个稍微懒惰的问题 :) 感谢 Borodin 的帮助(在 Perl 中采用十六进制字符串的 SHA1 HMAC

#!/usr/bin/perl -w

use strict;
use warnings;

use Convert::Base32;
use Digest::HMAC_SHA1 qw/ hmac_sha1_hex /;

my $base_32_secret = "JBSWY3DPEHPK3PXP";
print "".totp_token($base_32_secret)."\n";

sub totp_token {
    my $secret = shift;

    my $key = unpack("H*", decode_base32($secret));
    my $lpad_time = sprintf("%016x", int(time()/30));
    my $hmac = hmac_sha1_hex_string($lpad_time, $key);

    my $offset = sprintf("%d", hex(substr($hmac, -1)));

    my $part1 = 0 + sprintf("%d", hex(substr($hmac, $offset*2, 8)));
    my $part2 = 0 + sprintf("%d", hex("7fffffff"));

    my $token = substr("".($part1 & $part2), -6);
    return $token;
}

sub  hmac_sha1_hex_string {
   my ($data, $key) = map pack('H*', $_), @_;
   hmac_sha1_hex($data, $key);
}
于 2014-08-27T23:37:57.550 回答
3

为了后代,我从@Vijay 的回答中获取了脚本(谢谢老兄),稍微简化了算法,添加了来自 TOTP 定义的文档,并添加了一些示例代码。

我精简的数字生成代码只是@Vijay答案的简化:

use Digest::HMAC_SHA1 qw/ hmac_sha1_hex /;

my $paddedTime = sprintf("%016x", int(time() / $TIME_STEP));
my $data = pack('H*', $paddedTime);
my $key = decode_base32($secret);

# encrypt the data with the key and return the SHA1 of it in hex
my $hmac = hmac_sha1_hex($data, $key);

# take the 4 least significant bits (1 hex char) from the encrypted string as an offset
my $offset = hex(substr($hmac, -1));
# take the 4 bytes (8 hex chars) at the offset (* 2 for hex), and drop the high bit
my $encrypted = hex(substr($hmac, $offset * 2, 8)) & 0x7fffffff;

# the token is then the last 6 digits in the number
my $token = $encrypted % 1000000;
# make sure it is 0 prefixed
return sprintf("%06d", $token);

可以从 Github 下载完整的TOTP 2 Factor Auth Perl 脚本。

于 2015-03-16T16:19:40.390 回答
3

Auth::GoogleAuthenticator是否适合您的目的?

编辑:确实如此;这验证了 JS 生成的 OTP。当计数器不再及时时,它返回一个空字符串;即错误。使用 URL 会导致应用程序同步到 JS:

use Data::Printer;
use Auth::GoogleAuthenticator;

my $auth = Auth::GoogleAuthenticator->new(secret_base32 => q/e4ytonjeim4hcsrhja5fe5kqfu/);
say $auth->registration_url;
p($auth->verify('252499'));

输出:

otpauth://totp/?secret=e4ytonjeim4hcsrhja5fe5kqfu
1
于 2014-08-27T19:07:29.527 回答