Java实现TOTP动态口令验证

最新推荐文章于 2025-03-25 17:56:31 发布
最新推荐文章于 2025-03-25 17:56:31 发布
阅读量2.9k 收藏 11
点赞数 4
分类专栏: Java 文章标签: java totp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xbeckoning/article/details/106653199
版权

动态口令使用场景

  • 服务器登录动态口令验证
  • WEB应用密码登录二次验证
  • 银行转账动态口令

Java实现代码

package org.xbeckoning.commons.util;

import org.apache.commons.codec.binary.Base32;
import org.apache.commons.lang3.RandomStringUtils;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.ByteBuffer;
import java.util.UUID;

public class TotpUtils {

    /** 时间步长,动态口令变化时间周期(单位秒) */
    private static final int TIME_STEP = 30;
    /** 动态口令默认长度 */
    private static final int CODE_DIGITS = 6;

    /**
     * 生成唯一密钥
     *
     * @return
     */
    public static String generateSecretKey() {
        // UUID + 4位随机字符生成唯一标识
        String uniqueId = UUID.randomUUID() + RandomStringUtils.randomAlphabetic(4);
        return new String(new Base32().encode(uniqueId.getBytes()));
    }

    /**
     * 生成一个基于TOTP标准身份验证器识别的字符串
     * 将该字符串生成二维码可供通用动态密码工具识别,例如:iOS应用(Authy)、微信小程序(二次验证码)
     *
     * @param user
     * @param secret
     * @return
     */
    public static String getQRCodeStr(String user, String secret) {
        String format = "otpauth://totp/%s?secret=%s";
        return String.format(format, user, secret);
    }

    /**
     * 生成动态口令
     *
     * @param secret
     * @return
     */
    public static String generateTOTP(String secret) {
        return TotpUtils.generateTOTP(secret, TotpUtils.getCurrentInterval(), CODE_DIGITS);
    }

    /**
     * 生成指定位数的动态口令
     *
     * @param secret
     * @param codeDigits
     * @return
     */
    public static String generateTOTP(String secret, int codeDigits) {
        return TotpUtils.generateTOTP(secret, TotpUtils.getCurrentInterval(), codeDigits);
    }

    /**
     * 验证动态口令
     *
     * @param secret
     * @param code
     * @return
     */
    public static boolean verify(String secret, String code) {
        return TotpUtils.verify(secret, code, CODE_DIGITS);
    }

    /**
     * 验证动态口令
     *
     * @param secret
     * @param code
     * @param codeDigits
     * @return
     */
    public static boolean verify(String secret, String code, int codeDigits) {
        long currentInterval = TotpUtils.getCurrentInterval();
        // 考虑到时间延时,需考虑前一个步长的动态密码是否匹配
        for (int i = 0; i <= 1; i++) {
            String tmpCode = TotpUtils.generateTOTP(secret, currentInterval - i, codeDigits);
            if (tmpCode.equals(code)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 获取动态口令剩余秒数
     * <p>
     * 所有口令是基于时间戳计算,因此任何动态口令的剩余有效时间都是一致的
     *
     * @return
     */
    public static int getRemainingSeconds() {
        return TIME_STEP - (int) (System.currentTimeMillis() / 1000 % TIME_STEP);
    }

    /**
     * 生成动态口令
     *
     * @param secret
     * @param currentInterval
     * @param codeDigits
     * @return
     */
    private static String generateTOTP(String secret, long currentInterval, int codeDigits) {
        if (codeDigits < 1 || codeDigits > 18) {
            throw new UnsupportedOperationException("不支持" + codeDigits + "位数的动态口令");
        }
        byte[] content = ByteBuffer.allocate(8).putLong(currentInterval).array();
        byte[] hash = TotpUtils.hmacsha(content, secret);
        // 获取hash最后一个字节的低4位,作为选择结果的开始下标偏移
        int offset = hash[hash.length - 1] & 0xf;
        // 获取4个字节组成一个整数,其中第一个字节最高位为符号位,不获取,使用0x7f
        int binary =
                ((hash[offset] & 0x7f) << 24) |
                        ((hash[offset + 1] & 0xff) << 16) |
                        ((hash[offset + 2] & 0xff) << 8) |
                        (hash[offset + 3] & 0xff);
        // 如果所需位数为6,则该值为1000000
        long digitsPower = Long.parseLong(TotpUtils.rightPadding("1", codeDigits + 1));
        // 获取当前数值后的指定位数
        long code = binary % digitsPower;
        // 将数字转成字符串,不够指定位前面补0
        return TotpUtils.leftPadding(Long.toString(code), codeDigits);
    }

    /**
     * 获取当前时间戳
     *
     * @return
     */
    private static long getCurrentInterval() {
        return System.currentTimeMillis() / 1000 / TIME_STEP;
    }

    /**
     * 向左补足0
     *
     * @param value
     * @param length
     * @return
     */
    private static String leftPadding(String value, int length) {
        while (value.length() < length) {
            value = "0" + value;
        }
        return value;
    }

    /**
     * 向右补足0
     *
     * @param value
     * @param length
     * @return
     */
    private static String rightPadding(String value, int length) {
        while (value.length() < length) {
            value = value + "0";
        }
        return value;
    }

    /**
     * 使用HmacSHA1加密
     *
     * @param content
     * @param key
     * @return
     */
    private static byte[] hmacsha(byte[] content, String key) {
        try {
            byte[] byteKey = new Base32().decode(key);
            Mac hmac = Mac.getInstance("HmacSHA1");
            SecretKeySpec keySpec = new SecretKeySpec(byteKey, "HmacSHA1");
            hmac.init(keySpec);
            return hmac.doFinal(content);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
动态密码 java_动态密码TOTPJava实现
weixin_35949256的博客
02-19 1237
一、HOTPHOTP 算法,全称是“An HMAC-Based One-Time Password Algorithm”,是一种基于事件计数的一次性密码生成算法,详细的算法介绍可以查看 RFC 4226。其实算法本身非常简单,算法本身可以用两条简短的表达式描述:HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))PWD(K,C,digit) = HOTP(K,C) mod 1...
java使用google身份验证实现动态口令验证的示例
08-29
"java 使用 Google 身份验证实现动态口令验证的示例" 本篇文章主要介绍了使用 Java 语言实现 Google 身份验证器来实现动态口令验证的示例代码。Google 身份验证器是一种基于时间的单次密码(TOTP)算法,能够生成...
Java实现OTP二次验证
东皋长歌的专栏
08-21 2298
首先简单介绍一下OTP:简单就是说,一个时长30秒的动态密码,和账号绑定了,如果需要做身份验证的话,可以用这个动态码做二次验证。更简单说,就是一个安全要求更高的身份验证方式,一个字,牛!废话不多说,开干!
Java使用OTP动态口令(每分钟变一次)进行登录认证
08-25
主要介绍了Java使用OTP动态口令(每分钟变一次)进行登录认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot 3.3 带你玩转 TOTP 双重认证,从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
03-25 695
这套 TOTP 注册系统,结合了现代前端技术和稳健的后端架构,实现了高效、安全的用户注册流程。在设计的时候,充分考虑了安全性和用户体验,确保用户在注册过程中能够快速获取所需信息,又不影响安全标准。总的来说,这套系统不仅提高了用户账户的安全性,还通过友好的操作流程,增强了用户的信任感,为未来的扩展和优化打下了坚实的基础!```黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
OTP动态口令Java实现
u010786200的博客
08-01 9039
最近项目需要在应用中在登录时增加otp动态口令,作为二次密码的验证,原谅本人的孤陋寡闻居然是初次听说这技术,然后各种在网上查相关资料,发现想研究透此中算法时间太紧迫。鉴于此本人就不细说这个技术原理了(至今没有太搞明白),网上有各种版本的本人只是整理了一下,纯属投机取巧望大拿勿喷。 第一步、首先我们先在手机应用商店下载FreeOTP(搜索不到找度娘)安装。 第二步、上工具...
java实现用户通过opt动态口令登录系统
ts977的博客
08-16 972
Java实现一个基于动态口令(OTP, One-Time Password)的用户登录系统,通常涉及到几个关键组件:用户身份验证、OTP生成与验证、以及安全存储用户信息。下面简单介绍一下如何实现用户通过动态口令进行登录。
JAVA调用360ID动态口令完成用户认证登录
qq_35238963的博客
05-12 1579
代码仅供学习参考,请勿用于商业用途,博主不负任何法律责任1.实现一个ItsClient 客户端用来实例化调用验证功能public class ItsClient { private static final String routing = "/v1.0/sectoken/otp_validation"; // ! HTTPS消息验证地址 private String httpsVerifyUrl...
java动态口令登录实现过程详解
08-25
Java 动态口令登录实现过程详解 Java 动态口令登录实现过程是指通过 Java 语言实现动态口令登录的过程。动态口令登录是一种安全的身份验证方式,通过生成一个动态口令验证用户的身份。在这个过程中,客户端需要...
Java实现Google身份验证动态口令验证教程
这个系统不仅包括服务端的key生成,还包括客户端如何产生及验证动态口令(OTP),进而提供一个更为安全的登录验证机制。 详细知识点如下: ### 1. Google身份验证器的原理 Google身份验证器基于HMAC-based One ...
otp_verify_java.rar_OTP_OTPVerify_TOTP_otp算法_一次性 口令
09-24
"jotpverify.jar"可能是一个包含OTP验证功能的Java库,可以方便地集成到Java项目中,用于验证用户输入的动态口令是否有效。而"demo.java"可能是示例代码,演示了如何使用该库进行TOTP和HOTP的验证。 使用这些工具和...
java-otp, Java的一次性口令( HOTP和 TOTP ) 库.zip
09-17
java-otp, Java的一次性口令( HOTP和 TOTP ) 库 Java otp是使用 Java HOTP ( RFC 4226 ) 或者 TOTP ( RFC 6238 ) 标准生成一次性密码的库。用法为了演示一次生成密码,我们将重点放在TOTP算法。 要创建默认密码长度为( 6位数字),
MinaOTP-Shell:TOTP身份验证器工具作为终端工具
02-05
MinaOTP-壳 MinaOTP-Shell是一种两因素身份验证工具,可在终端中作为命令行工具运行。 这个命令行工具将为您生成安全的动态2FA令牌,在终端中的add , remove , list , show和import将非常方便。 安装 pip install minaotp 用法 帮助信息 $ mina -h usage: mina [-h] {list,add,remove,show,import} ... MinaOTP is a two-factor authentication tool that runs in the terminal positional argume
totp-me:Java ME的TOTP身份验证器-开源
05-13
不仅是用于Java启用电话的两步验证的Google身份验证器。 这是RFC 6238身份验证器的MIDlet-1.0实现-TOTP:基于时间的一次性密码算法。 它快速,简单,并且支持多个配置文件。
Google身份验证器:Clojure程序使用TOTP计算您的Google身份验证器OTP
01-30
Google身份验证器 Clojure程序,用于计算您的Google身份验证器otp。 我个人使用它来自动与苹果脚本一起连接到VPN。 但是您可以找到其他用例,在这些用例中,您需要自动化OTP的计算和提交。 托普 Google身份验证器将Totp(基于时间的一次性密码)用于2要素身份验证。 当您/您的应用在Google身份验证器中注册时,Google会为您提供一个共享密钥(可以采用QR码的形式)。 共享密钥是一个Base32Encoded字符串,看起来像这样的JBSWY3DPEHPK3PXP TOTP算法通过对密钥和当前时间戳进行HMAC(表示为距EPOCH 30秒的步长)来计算Otp。 因此,OTP每30秒更改一次。 您可以在阅读有关该算法的更多信息。 使用情况(JVM) 该程序接收一个文件,该文件包含您的秘密密钥(已编码base32)作为参数,以及一个可选参数,用于指定otp写入的文件路径。 如果未指定第二个参数,则将otp打印到控制台。 make apply-patch lein compile lein uberjar cd target 由于我们使用的是气候信息,因此
totp:TypeScript一次性密码库(HOTP,TOTP,Google身份验证器)
04-30
TypeScript一次性密码库(HOTP,TOTP,Google身份验证器) 在Node.js环境中工作的一次性密码库 要求 npm install -g tsd gulp 建造 npm install tsd install gulp build 运行单元测试 gulp test 用法 var GoogleAuthenticator = require ( 'dist/GoogleAuthenticator' ) ; var authenticator = new GoogleAuthenticator ( ) ; var key = authenticator . generateNewBase32Secret ( ) ; // generate QRCode image URL (through google chart api) var url = authenticator
物联网安全-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 2086
动态口令学习记录
双因子认证,TOTP动态口令认证
qq_41633199的博客
06-25 2370
TOTP:Time-based One-Time Password写,基于对称密钥与时间戳算法的一次性认证码。时间同步,基于客户端的动态口令动态口令验证服务器的时间比对,默认每30秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。算法安全的核心在于密钥 , 每个人通过对应账户生成的密钥是不同的 . 当他们用同一个算法加密时 , 会生成不同的随机密码,认证时客户端需要使用阿里身份宝,Goole 身份验证器等工具生成认证码。
TOTP算法实现二步验证
weixin_33785108的博客
06-24 2530
概念 TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。 它已被采纳为Internet工程任务组标准RFC 6238,是Initiative for Open Authentication(OATH)的基石,并被用于许多双因素身份验证系统。 TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值