給你的web應(yīng)用上MFA

什么是MFA

虛擬MFAMulti-FactorAuthentication多因素認(rèn)證牡属,是需要一部智能手機(jī)并安裝虛擬MFA應(yīng)用程序即可在賬戶上加上一層安全保險(xiǎn)

常見的MFA應(yīng)用程序蔓罚,

手機(jī)類型 MFA應(yīng)用程序
iPhone Google Authenticator
Android 谷歌動(dòng)態(tài)口令 近尚,身份寶宵晚,洋蔥
Windows Phone 身份驗(yàn)證器
Blackberry Google Authenticator

MFA應(yīng)用程序的算法TOTP

TOTP(Time-Based One-Time Password基于時(shí)間的一次性密碼)剩燥,其核心內(nèi)容包括以下三點(diǎn):

  1. 共同密鑰
  2. 共同時(shí)間
  3. 共同簽署方法

什么系統(tǒng)需要用到

想要安全黎棠,什么系統(tǒng)都可以用

以上基本上從網(wǎng)絡(luò)搜集的資料醋闭,接下來看看MFA加到web應(yīng)用的效果

同樣支持自動(dòng)掃描椎木,手動(dòng)添加违柏,二選一添加就可以了,添加之后香椎,輸入連續(xù)2組不同的動(dòng)態(tài)密碼漱竖,確認(rèn)后,系統(tǒng)就會(huì)開啟MFA認(rèn)證,這樣該用戶登錄系統(tǒng)就會(huì)多一次認(rèn)證

需要保證:安裝MFA應(yīng)用程序手機(jī)的時(shí)間需要與服務(wù)器一致畜伐,不然動(dòng)態(tài)密碼無法一致

image.png
image.png
image.png
image.png

代碼片段

//二維碼圖片生成
package controllers

import (
    "github.com/boombuler/barcode"
    "github.com/boombuler/barcode/qr"
    "image"
    "image/png"
    "log"
    "os"
)

func WritePng(filename string, img image.Image) string {
    file, err := os.Create("./static/images/" + filename)
    if err != nil {
        log.Fatal(err)
    }
    err = png.Encode(file, img)
    if err != nil {
        log.Fatal(err)
    }
    file.Close()
    log.Println(file.Name())
    return "/static/images/" + filename
}

func GetQrCode(str string, filename string) string {
    code, err := qr.Encode(str, qr.L, qr.Unicode)
    if err != nil {
        log.Fatal(err)
    }
    log.Println("Encoded data:", code.Content())
    if str != code.Content() {
        log.Fatal("data differs")
    }
    code, err = barcode.Scale(code, 200, 200)
    if err != nil {
        log.Fatal(err)
    }
    return WritePng(filename+".png", code)
}

//TOTP相關(guān)
package controllers

import (
    "crypto/hmac"
    "crypto/sha1"
    "encoding/base32"
    "fmt"
    "math/rand"
    "strings"
    "time"
)

const (
    length = 16
)

func toBytes(value int64) []byte {
    var result []byte
    mask := int64(0xFF)
    shifts := [8]uint16{56, 48, 40, 32, 24, 16, 8, 0}
    for _, shift := range shifts {
        result = append(result, byte((value>>shift)&mask))
    }
    return result
}

func toUint32(bytes []byte) uint32 {
    return (uint32(bytes[0]) << 24) + (uint32(bytes[1]) << 16) +
        (uint32(bytes[2]) << 8) + uint32(bytes[3])
}

//密鑰生成
func GetSecret() string {
    str := "234567abcdefghijklmnopqrstuvwxyz"
    bytes := []byte(str)
    result := []byte{}
    r := rand.New(rand.NewSource(time.Now().UnixNano()))
    for i := 0; i < length; i++ {
        result = append(result, bytes[r.Intn(len(bytes))])
    }
    return string(result)
}

func oneTimePassword(key []byte, value []byte) uint32 {
    // sign the value using HMAC-SHA1
    hmacSha1 := hmac.New(sha1.New, key)
    hmacSha1.Write(value)
    hash := hmacSha1.Sum(nil)

    // We're going to use a subset of the generated hash.
    // Using the last nibble (half-byte) to choose the index to start from.
    // This number is always appropriate as it's maximum decimal 15, the hash will
    // have the maximum index 19 (20 bytes of SHA1) and we need 4 bytes.
    offset := hash[len(hash)-1] & 0x0F

    // get a 32-bit (4-byte) chunk from the hash starting at offset
    hashParts := hash[offset : offset+4]

    // ignore the most significant bit as per RFC 4226
    hashParts[0] = hashParts[0] & 0x7F

    number := toUint32(hashParts)

    // size to 6 digits
    // one million is the first number with 7 digits so the remainder
    // of the division will always return < 7 digits
    pwd := number % 1000000

    return pwd
}

//動(dòng)態(tài)6位密碼
func Totp(secret string, ago int64) string {
    keynospaces := strings.Replace(secret, " ", "", -1)
    keynospacesupper := strings.ToUpper(keynospaces)
    key, err := base32.StdEncoding.DecodeString(keynospacesupper)
    if err != nil {
        fmt.Println(err)
    }
    epochsecond := time.Now().Unix()
    epochsecond -= ago //ago可以為0馍惹,也可以為30,這樣可以應(yīng)付2組密碼的情況
    pwd := oneTimePassword(key, toBytes(epochsecond/30))

    secondsRemaining := 30 - (epochsecond % 30)
    //fmt.Sprintf("%06d (%d second(s) remaining)\n", pwd, secondsRemaining)
    fmt.Println(secondsRemaining) //這個(gè)secondsRemaining沒有用到,只是打印下
    return fmt.Sprintf("%06d", pwd)

}

//二維碼包含內(nèi)容
func Getotpauth(name, secret, issuer string) string {
    otpauth := "otpauth://totp/" + "testwd" + ":" + name + "?secret=" + secret + "&issuer=" + issuer
    return otpauth
}


//MFA開啟后烤礁,登錄后驗(yàn)證MFA頁面
func (self *UserController) MfaVerifyPage() {
    self.TplName = "user/mfapwd.html"
}
//驗(yàn)證MFA動(dòng)態(tài)密碼是否正確
func (self *UserController) MfaVerify() {
    email := self.GetSession("email")
    code := self.Input().Get("code")
    if email == nil {
        self.Data["islogin"] = false
        self.Ctx.Redirect(302, "/")
    } else {
        _, user := models.FindUserByEmail(email.(string))
        if code == Totp(user.Secret, 0) {
            self.SetSession("uid", user.Id)
            msg := map[string]interface{}{"code": 0, "msg": "success"}
            self.Data["json"] = &msg
            self.ServeJSON()
        } else {
            msg := map[string]interface{}{"code": 1, "msg": "invalid code"}
            self.Data["json"] = &msg
            self.ServeJSON()
        }
    }

}

func (self *UserController) MFAPage() {
    uid := self.GetSession("uid")
    if uid == nil {
        self.Data["islogin"] = false
        self.Ctx.Redirect(302, "/")
    } else {
        user := models.FindUserDetialById(uid.(int))
                //隨機(jī)密鑰
        secret := GetSecret()
        qrdata := Getotpauth(user.Nickname, secret, "測(cè)試村")
        //把郵箱md5加密成字符串讼积,當(dāng)作二維碼文件名,這樣文件名應(yīng)該是每個(gè)用戶只有一個(gè)
        //不會(huì)因?yàn)橛脩舳啻嗡⑿露刹槐匾奈募?以防造成空間浪費(fèi)
        md5ctx := md5.New()
        md5ctx.Write([]byte(user.Email))
        filename := fmt.Sprintf("%x", md5ctx.Sum(nil))
        fmt.Println(filename, "pppp")
        self.Data["qrimg"] = GetQrCode(qrdata, filename)
        if user.Mfa != true {
            user.Secret = secret
            models.UpdateUser(&user)
            self.Data["secret"] = secret
        } else {
                      //開啟MFA,密鑰對(duì)用戶不可見
            self.Data["secret"] = "****************"
        }

        self.Data["islogin"] = true
        self.Data["userinfo"] = user
        self.Data["IsMFA"] = true
        self.TplName = "user/mfa.html"
    }
}

//開啟MFA
func (self *UserController) SetMfa() {
    code1, code2 := self.Input().Get("code1"), self.Input().Get("code2")
    uid := self.GetSession("uid")
    if uid == nil {
        self.Data["islogin"] = false
        self.Ctx.Redirect(302, "/")
    } else {
        user := models.FindUserDetialById(uid.(int))
        fmt.Println(code1, code2)
        fmt.Println(Totp(user.Secret, 30), Totp(user.Secret, 0))
        if code1 == Totp(user.Secret, 30) && code2 == Totp(user.Secret, 0) {
            user.Mfa = true
            models.UpdateUser(&user)
            msg := map[string]interface{}{"code": 0, "msg": "success"}
            self.Data["json"] = &msg
            self.ServeJSON()

        } else {
            msg := map[string]interface{}{"code": 1, "msg": "無效密碼"}
            self.Data["json"] = &msg
            self.ServeJSON()
        }
    }
}

//關(guān)閉MFA脚仔,關(guān)閉也需要驗(yàn)證動(dòng)態(tài)密碼
func (self *UserController) CloseMfa() {
    code1, code2 := self.Input().Get("code1"), self.Input().Get("code2")
    uid := self.GetSession("uid")
    if uid == nil {
        self.Data["islogin"] = false
        self.Ctx.Redirect(302, "/")
    } else {
        user := models.FindUserDetialById(uid.(int))
        fmt.Println(code1, code2)
        fmt.Println(Totp(user.Secret, 30), Totp(user.Secret, 0))
        if code1 == Totp(user.Secret, 30) && code2 == Totp(user.Secret, 0) {
            user.Mfa = false
            models.UpdateUser(&user)
            msg := map[string]interface{}{"code": 0, "msg": "success"}
            self.Data["json"] = &msg
            self.ServeJSON()

        } else {
            msg := map[string]interface{}{"code": 1, "msg": "無效密碼"}
            self.Data["json"] = &msg
            self.ServeJSON()
        }
    }
}
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末勤众,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子鲤脏,更是在濱河造成了極大的恐慌们颜,老刑警劉巖吕朵,帶你破解...
    沈念sama閱讀 206,723評(píng)論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異窥突,居然都是意外死亡努溃,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,485評(píng)論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門阻问,熙熙樓的掌柜王于貴愁眉苦臉地迎上來梧税,“玉大人,你說我怎么就攤上這事称近〉诙樱” “怎么了?”我有些...
    開封第一講書人閱讀 152,998評(píng)論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵刨秆,是天一觀的道長(zhǎng)凳谦。 經(jīng)常有香客問我,道長(zhǎng)衡未,這世上最難降的妖魔是什么尸执? 我笑而不...
    開封第一講書人閱讀 55,323評(píng)論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮缓醋,結(jié)果婚禮上如失,老公的妹妹穿的比我還像新娘。我一直安慰自己改衩,他們只是感情好岖常,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,355評(píng)論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著葫督,像睡著了一般。 火紅的嫁衣襯著肌膚如雪板惑。 梳的紋絲不亂的頭發(fā)上橄镜,一...
    開封第一講書人閱讀 49,079評(píng)論 1 285
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音冯乘,去河邊找鬼洽胶。 笑死,一個(gè)胖子當(dāng)著我的面吹牛裆馒,可吹牛的內(nèi)容都是我干的姊氓。 我是一名探鬼主播,決...
    沈念sama閱讀 38,389評(píng)論 3 400
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼喷好,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼翔横!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起梗搅,我...
    開封第一講書人閱讀 37,019評(píng)論 0 259
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤禾唁,失蹤者是張志新(化名)和其女友劉穎效览,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體荡短,經(jīng)...
    沈念sama閱讀 43,519評(píng)論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡丐枉,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,971評(píng)論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了掘托。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片瘦锹。...
    茶點(diǎn)故事閱讀 38,100評(píng)論 1 333
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖闪盔,靈堂內(nèi)的尸體忽然破棺而出弯院,到底是詐尸還是另有隱情,我是刑警寧澤锭沟,帶...
    沈念sama閱讀 33,738評(píng)論 4 324
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布抽兆,位于F島的核電站,受9級(jí)特大地震影響族淮,放射性物質(zhì)發(fā)生泄漏辫红。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,293評(píng)論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一祝辣、第九天 我趴在偏房一處隱蔽的房頂上張望贴妻。 院中可真熱鬧,春花似錦蝙斜、人聲如沸名惩。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,289評(píng)論 0 19
  • 一樁弒父案孕荠,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽娩鹉。三九已至,卻和暖如春稚伍,著一層夾襖步出監(jiān)牢的瞬間弯予,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,517評(píng)論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工个曙, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留锈嫩,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 45,547評(píng)論 2 354
  • 代替公主和親
    正文 我出身青樓垦搬,卻偏偏與公主長(zhǎng)得像呼寸,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子猴贰,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,834評(píng)論 2 345

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理对雪,服務(wù)發(fā)現(xiàn),斷路器糟趾,智...
    卡卡羅2017閱讀 134,600評(píng)論 18 139
  • Android 自定義View的各種姿勢(shì)1 Activity的顯示之ViewRootImpl詳解 Activity...
    passiontim閱讀 171,515評(píng)論 25 707
  • 國(guó)家電網(wǎng)公司企業(yè)標(biāo)準(zhǔn)(Q/GDW)- 面向?qū)ο蟮挠秒娦畔?shù)據(jù)交換協(xié)議 - 報(bào)批稿:20170802 前言: 排版 ...
    庭說閱讀 10,869評(píng)論 6 13
  • 今天慌植,給大家做一個(gè)用JS寫的計(jì)算器甚牲。首先,我們先來布個(gè)局蝶柿。用ul包住li丈钙,在li里面添加所有的功能還有數(shù)字。 用c...
    單純的色狼閱讀 1,458評(píng)論 3 0
  • 戳下邊藍(lán)字 無提取碼 百度云 新妹魔王的契約者 第一季全集 更多動(dòng)漫 戳右邊藍(lán)字→Neets.cc-新妹魔王的契約...
    總想取個(gè)不同的昵稱閱讀 1,155評(píng)論 0 0