security - Google 身份验证器可作为公共服务使用吗？

Question

是否有用于在自运行（例如 LAMP 堆栈）网络应用程序上使用Google Authenticator （两因素身份验证）的公共 API？

Answer 1

该项目是开源的。我没用过。但它使用的是文档化算法（在开源项目页面上列出的 RFC 中注明），并且身份验证器实现支持多个帐户。

实际过程很简单。一次性代码本质上是一种伪随机数生成器。随机数生成器是一个公式，一旦给定种子或起始数，就会继续创建随机数流。给定一个种子，虽然数字可能彼此随机，但序列本身是确定性的。因此，一旦您的设备和服务器“同步”，那么每次您点击“下一个数字按钮”时，设备创建的随机数将与服务器期望的随机数相同。

安全的一次性密码系统比随机数生成器更复杂，但概念相似。还有其他细节可帮助保持设备和服务器同步。

因此，不需要其他人来主持身份验证，比如 OAuth。相反，您需要实现与 Google 为移动设备提供的应用程序兼容的算法。该软件（应该）在开源项目中可用。

根据您的复杂程度，您应该拥有实现此过程的服务器端所需的一切，并提供 OSS 项目和 RFC。我不知道您的服务器软件（PHP、Java、.NET 等）是否有特定的实现

但是，具体来说，您不需要异地服务来处理此问题。

Answer 2

该算法记录在RFC6238中。有点像这样：

• 您的服务器为用户提供了安装到 Google Authenticator 中的秘密。谷歌将其作为此处记录的 QR 码执行。
• Google Authenticator 通过 Unix 时间的 SHA1-HMAC 和密钥生成 6 位代码（在 RFC 中有更多详细信息）
• 服务器也知道秘密/unix 时间来验证 6 位代码。

我在这里用javascript实现了算法：http: //blog.tinisles.com/2011/10/google-authenticator-one-time-password-algorithm-in-javascript/

Answer 3

有多种 PHP 库（The LAMP Stack）

PHP

https://code.google.com/p/ga4php/

http://www.idontplaydarts.com/2011/07/google-totp-two-factor-authentication-for-php/

在实现双因素身份验证时应该小心，您需要确保服务器和客户端上的时钟同步，对令牌进行暴力攻击的保护到位，并且使用的初始种子适当大。

Answer 4

您可以使用我的解决方案，作为我的问题的答案发布（有完整的 Python 代码和解释）：

Python 中的 Google 身份验证器实现

我认为用 PHP 或 Perl 实现它相当容易。如果您对此有任何问题，请告诉我。

我还在GitHub 上发布了我的代码作为 Python 模块。

Answer 5

我发现了这个：https ://github.com/PHPGangsta/GoogleAuthenticator 。我对其进行了测试，并且对我来说效果很好。

Answer 6

不是 LAMP，但如果您使用 C#，这是我使用的代码：

代码最初来自：

https://github.com/kspearrin/Otp.NET

Base32Encoding 类来自这个答案：

https://stackoverflow.com/a/7135008/3850405

示例程序：

class Program
{
    static void Main(string[] args)
    {
        var bytes = Base32Encoding.ToBytes("JBSWY3DPEHPK3PXP");

        var totp = new Totp(bytes);

        var result = totp.ComputeTotp();
        var remainingTime = totp.RemainingSeconds();
    }
}

顶部：

public class Totp
{
    const long unixEpochTicks = 621355968000000000L;

    const long ticksToSeconds = 10000000L;

    private const int step = 30;

    private const int totpSize = 6;

    private byte[] key;

    public Totp(byte[] secretKey)
    {
        key = secretKey;
    }

    public string ComputeTotp()
    {
        var window = CalculateTimeStepFromTimestamp(DateTime.UtcNow);

        var data = GetBigEndianBytes(window);

        var hmac = new HMACSHA1();
        hmac.Key = key;
        var hmacComputedHash = hmac.ComputeHash(data);

        int offset = hmacComputedHash[hmacComputedHash.Length - 1] & 0x0F;
        var otp = (hmacComputedHash[offset] & 0x7f) << 24
               | (hmacComputedHash[offset + 1] & 0xff) << 16
               | (hmacComputedHash[offset + 2] & 0xff) << 8
               | (hmacComputedHash[offset + 3] & 0xff) % 1000000;

        var result = Digits(otp, totpSize);

        return result;
    }

    public int RemainingSeconds()
    {
        return step - (int)(((DateTime.UtcNow.Ticks - unixEpochTicks) / ticksToSeconds) % step);
    }

    private byte[] GetBigEndianBytes(long input)
    {
        // Since .net uses little endian numbers, we need to reverse the byte order to get big endian.
        var data = BitConverter.GetBytes(input);
        Array.Reverse(data);
        return data;
    }

    private long CalculateTimeStepFromTimestamp(DateTime timestamp)
    {
        var unixTimestamp = (timestamp.Ticks - unixEpochTicks) / ticksToSeconds;
        var window = unixTimestamp / (long)step;
        return window;
    }

    private string Digits(long input, int digitCount)
    {
        var truncatedValue = ((int)input % (int)Math.Pow(10, digitCount));
        return truncatedValue.ToString().PadLeft(digitCount, '0');
    }

}

Base32编码：

public static class Base32Encoding
{
    public static byte[] ToBytes(string input)
    {
        if (string.IsNullOrEmpty(input))
        {
            throw new ArgumentNullException("input");
        }

        input = input.TrimEnd('='); //remove padding characters
        int byteCount = input.Length * 5 / 8; //this must be TRUNCATED
        byte[] returnArray = new byte[byteCount];

        byte curByte = 0, bitsRemaining = 8;
        int mask = 0, arrayIndex = 0;

        foreach (char c in input)
        {
            int cValue = CharToValue(c);

            if (bitsRemaining > 5)
            {
                mask = cValue << (bitsRemaining - 5);
                curByte = (byte)(curByte | mask);
                bitsRemaining -= 5;
            }
            else
            {
                mask = cValue >> (5 - bitsRemaining);
                curByte = (byte)(curByte | mask);
                returnArray[arrayIndex++] = curByte;
                curByte = (byte)(cValue << (3 + bitsRemaining));
                bitsRemaining += 3;
            }
        }

        //if we didn't end with a full byte
        if (arrayIndex != byteCount)
        {
            returnArray[arrayIndex] = curByte;
        }

        return returnArray;
    }

    public static string ToString(byte[] input)
    {
        if (input == null || input.Length == 0)
        {
            throw new ArgumentNullException("input");
        }

        int charCount = (int)Math.Ceiling(input.Length / 5d) * 8;
        char[] returnArray = new char[charCount];

        byte nextChar = 0, bitsRemaining = 5;
        int arrayIndex = 0;

        foreach (byte b in input)
        {
            nextChar = (byte)(nextChar | (b >> (8 - bitsRemaining)));
            returnArray[arrayIndex++] = ValueToChar(nextChar);

            if (bitsRemaining < 4)
            {
                nextChar = (byte)((b >> (3 - bitsRemaining)) & 31);
                returnArray[arrayIndex++] = ValueToChar(nextChar);
                bitsRemaining += 5;
            }

            bitsRemaining -= 3;
            nextChar = (byte)((b << bitsRemaining) & 31);
        }

        //if we didn't end with a full char
        if (arrayIndex != charCount)
        {
            returnArray[arrayIndex++] = ValueToChar(nextChar);
            while (arrayIndex != charCount) returnArray[arrayIndex++] = '='; //padding
        }

        return new string(returnArray);
    }

    private static int CharToValue(char c)
    {
        int value = (int)c;

        //65-90 == uppercase letters
        if (value < 91 && value > 64)
        {
            return value - 65;
        }
        //50-55 == numbers 2-7
        if (value < 56 && value > 49)
        {
            return value - 24;
        }
        //97-122 == lowercase letters
        if (value < 123 && value > 96)
        {
            return value - 97;
        }

        throw new ArgumentException("Character is not a Base32 character.", "c");
    }

    private static char ValueToChar(byte b)
    {
        if (b < 26)
        {
            return (char)(b + 65);
        }

        if (b < 32)
        {
            return (char)(b + 24);
        }

        throw new ArgumentException("Byte is not a value Base32 value.", "b");
    }

}

Answer 7

是的，不需要网络服务，因为 Google Authenticator 应用程序不会与 google 服务器通信，它只是与您的服务器生成的初始密码（从 QR 码输入您的手机）在时间流逝时保持同步。

Answer 8

有：https ://www.gauthify.com将其作为服务提供

Answer 9

对于那些使用 Laravel 的人来说，这个https://github.com/sitepoint-editors/google-laravel-2FA是解决这个问题的好方法。

Answer 10

对于 C# 用户，运行这个简单的控制台应用程序以了解如何验证一次性令牌代码。请注意，我们需要先从Nuget 包安装库Otp.Net 。

static string secretKey = "JBSWY3DPEHPK3PXP"; //add this key to your Google Authenticator app  

private static void Main(string[] args)
{
        var bytes = Base32Encoding.ToBytes(secretKey);

        var totp = new Totp(bytes);

        while (true)
        {
            Console.Write("Enter your code from Google Authenticator app: ");
            string userCode = Console.ReadLine();

            //Generate one time token code
            string tokenInApp = totp.ComputeTotp();
            int remainingSeconds = totp.RemainingSeconds();

            if (userCode.Equals(tokenInApp)
                && remainingSeconds > 0)
            {
                Console.WriteLine("Success!");
            }
            else
            {
                Console.WriteLine("Failed. Try again!");
            }
        }
}