python - Google 身份验证器代码与服务器生成的代码不匹配

Question

背景

---

我目前正在开发一个双因素身份验证系统，用户可以使用他们的智能手机进行身份验证。在用户可以使用他们的设备之前，他们需要先验证它。为此，他们需要扫描我给他们的二维码并输入随后显示的代码。

问题

---

QR 码的扫描工作正常，并且可以被 Google Authenticator 应用程序正确读取。但是，生成的代码与我在服务器上生成的代码不匹配。

我试过什么

---

我已经尝试了几件事，希望能找到我的问题。

1. 我曾尝试在 Google Authenticator 应用程序中直接插入默认密码： 'thiswasmysecretkeyused'和密码的base64.b32encode()编码版本： 'ORUGS43XMFZW26LTMVRXEZLUNNSXS5LTMVSA===='但这两个生成的代码都与服务器不同。

2. 我读到====密钥的尾随可能会导致它不起作用，所以我也尝试添加一个没有这些的。仍然没有好的结果（它们生成相同的代码）

3. 我尝试使用不同的算法生成 TOTP 代码，因为万一我使用的算法 ( django-otp ) 不正确。我使用的不同算法取自这个答案。两种算法在使用相同的密钥时生成相同的代码。

4. 我检查了我系统上的时间。我看到操作系统的显示15:03就像我的智能手机一样。将时间都转储到python中后time.time()，datetime.datetime.now()我看到返回的时间比操作系统时间晚一小时；显示14:03. 我尝试3600在用于代码生成的时间戳中添加秒数，但无济于事。

5. 我尝试了其他几件事，但不太记得它们都是什么。

6. 我在 Google Authenticator 中查找了接受密钥的代码，并验证它需要一个 base32 字符串。因此，据我所知，我对密钥的编码是正确的。从代码（EnterKeyActivity.java，第 78 行）：

   验证输入字段是否包含有效的 base32 字符串

代码

---

生成密钥；

def generate_shared_key(self):
    # create hash etc.
    return base64.b32encode(hasher.hexdigest())

生成二维码；

key = authenticator.generate_shared_key()
qrcode = pyqrcode.create('otpauth://totp/someurl.nl?secret=' + key)

生成 TOTP 代码；

def generate_code(self, drift_steps=0, creation_interval=30, digits=6, t0=0):
    code = str(totp(self.generate_shared_key(), creation_interval, timestamp, digits, drift_steps))
    return code.zfill(digits)

如果您需要更多代码，例如 django-otp 实际 totp 生成代码，请告诉我。

错误

---

没有错误。

预感

---

我的预感是我在生成密钥或将密钥传递给 Google Authenticator 时一定有问题。因为即使手动将密钥放入 Google Authenticator 也无法生成正确的代码。保存后，Google 身份验证器是否会对密钥执行更多操作，例如添加用户？

我还注意到在我使用的另一种算法中，那里的秘密首先被解码；

key = base64.b32decode(secret, True) 

我的原始密钥（SHA512 哈希）错了吗？我应该还是不应该对它进行编码base64.b32encode()？如果我尝试扫描生成的 QR 码而不对哈希进行编码，Google Authenticator 会说它不会将其识别为（有效）密钥。

Answer 1

好吧，在挖掘了 Google Authenticator 的代码之后，我终于发现了我做错了什么。

密钥编码

很清楚：Google Authenticator确实希望将base32编码字符串作为秘密。base32因此，无论您是手动输入还是通过 QR 码输入，当您将其提供给 Google Authenticator 时，您必须确保您的密码是一个编码字符串。

从EnterKeyActivity：

/*
 * Verify that the input field contains a valid base32 string,
 * and meets minimum key requirements.
 */
private boolean validateKeyAndUpdateStatus(boolean submitting) {
    //...
}

存储

Google Authenticator 将您提供的密钥按原样存储在数据库中。所以这意味着它将base32您的秘密字符串直接存储在数据库中。

从EnterKeyActivity：

private String getEnteredKey() {
    String enteredKey = mKeyEntryField.getText().toString();
    return enteredKey.replace('1', 'I').replace('0', 'O');
}

protected void onRightButtonPressed() {
    //...
    if (validateKeyAndUpdateStatus(true)) {
        AuthenticatorActivity.saveSecret(this, mAccountName.getText().toString(), getEnteredKey(), null, mode, AccountDb.DEFAULT_HOTP_COUNTER);
        exitWizard();
    }
    //...
}

从AuthenticatorActivity：

static boolean saveSecret(Context context, String user, String secret, String originalUser, OtpType type, Integer counter) {
    //...
    if (secret != null) {
          AccountDb accountDb = DependencyInjector.getAccountDb();
          accountDb.update(user, secret, originalUser, type, counter);

          //...
    }
}

恢复

当 Google Authenticator 从数据库中检索密钥时，它会解码base32字符串，以便使用真正的密钥。

从OtpProvider：

private String computePin(String secret, long otp_state, byte[] challenge) throws OtpSourceException {
    //...

    try {
        Signer signer = AccountDb.getSigningOracle(secret);
        //...
    }
}

从AccountDb：

static Signer getSigningOracle(String secret) {
    try {
        byte[] keyBytes = decodeKey(secret);
        //...
    }
}

private static byte[] decodeKey(String secret) throws DecodingException {
  return Base32String.decode(secret);
}

错误

我的错误是，在服务器端，我使用base32编码密钥来生成 TOTP 代码，因为我认为 Google Authenticator 也使用了它。事后看来，这当然是非常合乎逻辑的，但我找不到太多关于此的信息。希望这将在未来帮助更多的人。

TL;博士

确保您传递给 Google Authenticator 的密钥/密钥是base32编码字符串。确保在服务器端您使用的不是base32编码字符串，而是解码字符串。在 Python 中，您可以按如下方式对您的密钥/密钥进行编码和解码：

import base64

base64.b32encode(self.key)
base64.b32decode(self.key)