问题标签 [totp]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 如果我需要将 OTP 存储在数据库中,TOTP 如何工作?
我有一个要求
- 第三方提供商 (TPP) 想要使用 OTP 访问 Rest Endpoint。
因此,TPP 请求一个 service1,该 service1 又调用一个生成 OTP 的 service2,将与该请求相关的用户特定数据存储在 DB 中针对该 OTP,并将 OTP 返回给 TPP。这些 OTP 在某些 n 时间内有效,例如 。6 分钟。到目前为止一切顺利,现在我的问题如下
我只能生成 6 位数的 OTP。我正在使用 Java.Crypto.mac。我收到很多重复的 OTP。什么是最好的算法,以减少获得重复的概率。我从https://github.com/jchambers/java-otp/blob/master/src/main/java/com/eatthepath/otp/HmacOneTimePasswordGenerator.java得到了提示
使用相同的逻辑。我使用 jmeter 进行了单线程测试,5000 次我得到了近 500 个重复的 OTP
我读过 TOTP 在客户端服务器方法中工作。我不明白在我的场景中没有这样的客户。有没有办法不将 OTP 存储在数据库中?
如果我将它们保存在数据库中,那么在某些时候所有的 OTP 都会耗尽。
我已经阅读了几乎所有关于 XOR128、TOTP、HOTP 的文章,但有些东西我想不明白。请帮我解决这个问题。
qr-code - TOTP 多因素二维码(如谷歌验证器)——如何设置我的徽标?
我们为 TOTP 多因素生成一个二维码。这个二维码可以被谷歌验证器、authy 等很好地消费。
我们正在尝试弄清楚如何包含我们的徽标,以便身份验证应用程序可以显示我们的徽标而不是通用徽标。
我已经翻遍了关于 QR 码中内容的规范,但还没有找到这个信息。
php - 处理 TOTP 实现(PHP 或 JavaScript)
我在我的一个应用程序中实现了 2FA(TOTP 方法)。在服务器端 (PHP) 处理密钥生成和 TOTP 代码验证。在某些情况下,我的应用程序不接受由 TOTP 应用程序(我的案例 Google Authenticator)生成的 TOTP 代码。我知道这是因为时差。我期待一种方法来支持来自不同时区的用户。
当前的实现行为:
案例1(完美运行):
- 服务器默认时区设置为“亚洲/加尔各答”
- 用户从印度启用 TOTP
- 用户总是从印度登录
案例2(登录失败):
- 服务器默认时区设置为“亚洲/加尔各答”
- 用户从印度启用 TOTP
- 从不同时区登录
案例3(登录失败):
- 服务器默认时区设置为“亚洲/加尔各答”
- 用户从不同时区启用 TOTP
- 用户从不同时区登录
TOTP 通常如何集成到应用程序中以支持来自不同时区的用户?
从客户端(JS)生成秘密和验证是最佳实践吗?
ios - 如何实现兼容java和objective-c的TOTP认证
我对 TOTP 身份验证有疑问。
我的服务器 (java) 生成一个密钥并将其传输到我的 android 和 ios 应用程序。在身份验证时,我的移动应用程序运行 TOTP 算法,将密钥作为参数并将结果发送到服务器。服务器还获取此密钥并执行 TOTP 算法并检查结果是否相同。我当前的问题是 java 端算法返回的结果与 iOS 级算法 (objective-c) 不同。请问您是否有在双方都运行的算法或能够获得相同结果的解决方案?
ssh - 为 SSH 配置 Yubikey 的 Ansible
我有一个配置了 SSH 密钥的 Yubikey 4,如果我只是在配置了这个密钥的服务器中进行简单的 ssh 操作,它就可以完美地工作。
但是当我尝试使用这个配置运行 ansible 时,它给了我这个错误:
我假设它需要文件系统中存在 $HOME/.ssh/id_rsa 文件,有没有办法解决这个问题?
qr-code - 使用条形码共享的密钥在 2FA 中如何安全?
我正在为我的网络安全课程实施基于时间的 OTP (TOTP)。上次我做演示时,我的导师问我“如果你要通过生成 QR 码然后让客户端(软令牌)扫描它来共享密钥,你怎么确定它是安全的?”他的意思是从数据库中获取密钥然后制作其二维码的过程是否安全?如果第三方可以访问该网页,那么呢?第三方不扫码能知道秘钥吗?
我对他的问题感到很困惑。
reactjs - 放大 Auth.verifyTotpToken - user.verifySoftwareToken 不是函数
AWS Amplify - Cogito MFA TOTP
我正在尝试在启用 TOTP 的情况下登录。我已经设置了 TOTP。并得到正确的回应。
![cognitoUser]: https://imgur.com/NEtyfce - cognitoUser (object)
这是我得到的错误。TypeError:user.verifySoftwareToken 不是函数
assembly - 实施 TOTP 8086 组装 (TASM)
我正在尝试在 8086 程序集上实现 TOTP。返回 unix time/30 和 HMAC-SHA1 的程序运行良好(已检查)。我使用的密钥“0000000000”等于 0x30303030303030303030(base32 中的 GAYDAMBQGAYDAMBQ),我得到的结果与 Google Authenticator 应用程序不同。这是我的代码:
编辑:我试图实现的算法:
scala - 2FA TOTP 暂存代码或恢复代码是否对订单敏感?
我正在为 Play-Silhouette 开发 Google TOTP 扩展,请 在此处查看相应的 Play-Silhouette-Seed 项目,并且想知道暂存代码或恢复代码是否对订单敏感。订单敏感是指它们必须按照给定的顺序使用一次,有点像 PIN/PUK/PUK2 手机解锁码。
另一个相关的问题……这很明显,但最好确定一下。临时代码是否以与密码类似的方式存储?也加密和加盐?我认为将它们视为密码是有意义的......或者?
php - 双重认证连接无法重定向
我正在尝试在 laravel 下设置一个双重身份验证页面,为此我添加了一个 checkTotp 方法来验证用户是否已激活双重身份验证并将该用户重定向到相关页面。
问题是我没有被重定向并且代码继续执行。
发生的情况是我输入了 checkTotp 方法,但重定向不起作用。我的输出是 dd('after')。我不明白为什么我没有被重定向。有人能帮我吗?
昆汀