美文网首页
微信小程序使用otp算法踩坑总结

微信小程序使用otp算法踩坑总结

作者: 前端极客技术 | 来源:发表于2019-07-10 19:34 被阅读0次

    背景

    前两天项目有个类似动态口令的功能要实现,团队最终决定使用OTP算法来实现:前端先向后端请求获取用户的密钥(secret),将之保存在缓存中,之后前端根据该secret,使用OTP算法中的TOTP方式生成6位动态密码,将6位动态密码传到后台验证。

    OTP

    1.1 简介

    OTP(One-Time-Password):一次性密码,也称为动态口令。是使用密码技术实现的在客户端和服务端之间通过共享密钥的一种认证技术,是一种强认证技术,是增强目前静态密码口令认证的一种非常方便的技术手段,是一种重要的双因素认证技术。

    1.2 OTP认证原理

    动态口令的基本认证原理是在认证双方共享密钥,也称种子密钥,并使用同一个种子密钥对某一个事件计数、或时间值、或异步挑战数进行密码算法计算,使用的算法有对称算法、HASH、HMAC,之后比较计算值是否一致进行认证。可以做到一次一个动态口令,使用后作废,口令长度通常为6-8个数字,使用方便,与通常的静态口令认证方式类似。

    1.3 OTP实现方式

    • 时间同步(TOTP)
    • 事件同步(HOTP)
    • 挑战/应答(OCRA)

    本文内容主要是小程序使用OTP算法踩坑总结,不对OTP算法的三种实现方式的工作原理进行详细介绍,有兴趣的朋友自行查找相关资料。

    踩坑记录

    2.1 后端使用的otp库说明

    opt算法有许多现成的库可以直接调用,后端使用的是aerogear-otp-java这个库,问题不在后端,这里就不对这个库进行讲解,有兴趣的朋友可以自己查看:
    github地址: https://github.com/aerogear/aerogear-otp-java

    2.2 踩坑前提

    我们的微信小程序项目目前不支持引用第三方的npm包,所以要使用第三方的js库,需要将其js文件下载放到小程序目录中,通过require去引入。还有一点就是小程序项目还不支持node.js,如果js库有相关的node.js代码,还需要做一些改造。以上两点背景给我挖了一个大坑往里跳。

    2.3 跳入第一个坑

    我们先找可用的otp的js库,上github一搜,还是很多的,先选一个start数量比较的的:https://github.com/yeojz/otplib

    我们现在node.js环境上对 otplib 这个进行测试:

    const authenticator = require('otplib/authenticator');
const crypto = require('crypto');
authenticator.options = { crypto };
const secret = 'BYYHJ5R6C3DNZJX3'
const token = authenticator.generate(secret);
console.log(token);

    执行上面的代码,可以获得6位动态密码,拿到后端验证,验证不通过...各种尝试和排查后,放弃了,这个库和后端的aerogear-otp-java不兼容,尴尬。。。

    2.4 跳入第二个坑

    又到github上一通找,各种尝试,终于找到一个可以与aerogear-otp-java兼容的js库:node-lib-otp
    github地址: https://github.com/JCloudYu/node-lib-otp

    const otp = require( 'lib-otp' );
let otpObj = otp({
    secret:'BYYHJ5R6C3DNZJX3'
});
console.log(otpObj.totp(6));

    将生成的6位动态密码传到后台验证,通过。

    心想终于找到能用的了,有种胜利就在眼前的喜悦,马不停蹄下载相关js,着手修改其中的node.js代码,改到一半发现该库引用了太多node.js的写法和库,短时间内无法完成修改并保证可用,放弃该库了。。。

    2.5 出坑

    在github上搜索许久仍旧未找到合适的js库,突然灵光一闪上码云找一下,搜索结果第一个superzlc/otp有写小程序,尝试一下。
    地址:https://gitee.com/superzlc/otp/tree/master
    下载js,引入该库生成动态密码

    const otp = require('./libs/otp')
const TOTP = otp.TOTP
const token = new TOTP('BYYHJ5R6C3DNZJX3', 3, 30).gen()
console.log(token)

    验证通过,还不用修改代码,终于爬出坑了。

    总结

    OTP算法中的TOTP方式生成6位动态密码可用库如下:

    注意点:前后端的计数值应一致,否则无法验证通过

    相关文章

      网友评论

          本文标题:微信小程序使用otp算法踩坑总结

          本文链接:https://www.haomeiwen.com/subject/atrqkctx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|微信小程序使用otp算法踩坑总结|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!