iOS Developer的全栈之路 - Keycloak(6)

在本小节中，我们来看看如何配置OTP(One Time Password)，目前Keycloak自身支持的OTP有两个，其一是FreeOTP，它是RedHat自家出品的mobile app，不过看评论确实不怎么样；其二是Google的Authenticator，它就完备很多，在平时的工作中也在使用Authenticator登录Okta以及VPN。所以在后面的示例中使用Authenticator来演示。

初始化配置

1. 为了不影响之前的示例的配置，在这里创建一个新的realm(demo-otp)来演示OTP

   
   demo-otp.png
2. 在这个realm下创建两个用户，user1、user2
3. 更改Authentication的配置：
   入口如上图所示，在Flows选项卡下，选择Browser，Browser指的是通过浏览器登录时的流程配置。可以看到在下面的表格里，有一项Forms，右边的两列表示登录时，需要经过两步完成。第一步为填入用户名密码，第二步为OTP。默认状态下，OTP不是REQUIRED的。

登录

1. 配置完成后，通过浏览器打开链接：http://localhost:8080/auth/realms/demo-otp/account

2. 在登录表格中输入用户密码（原本可以直接登录的）

   
   login.png

3. 进入二次验证页面

   
   opt 1st time.png
   

   当该用户是第一次登录时，便会出现如上页面，使用Authenticator扫描图中二维码，便添加了该认证码，在页面中的输入框中输入Authenticator中的OTP即可完成登录。

4. 之后的登录过程中，输入完用户名和密码后，便进入如下页面，输入正确的otp后即可登录。

   
   otp 2nd time.png

通过Postman获取Token(OTP)

1. 在demo-otp这个realm中添加一个client用于获取token

   
   otp-client.png

2. 通过Postman发送请求，新增otp字段，便可获取到token

   
   otp token.png

QRCode

从QRCode中获取到

otpauth://totp/demo-otp:user1?secret=KN2TKUZXMNTGQNTQMNWEONCUI5WWMQTJ&digits=6&algorithm=SHA1&issuer=demo-otp&period=30

它一共有如下字段：
secret: KN2TKUZXMNTGQNTQMNWEONCUI5WWMQTJ
digits: 6
algorithm: SHA1
issuer: demo-otp
period: 30
这些字段的绝大多数，都可以从配置页中获得：

otp setup.png
而其中的secret是如何生成的呢？通过查看源码可以看到由如下代码生成，传入的length为20：

public class HmacOTP {
...
    public static String generateSecret(int length) {
        String chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVW1234567890";
        SecureRandom r = new SecureRandom();
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < length; i++) {
            char c = chars.charAt(r.nextInt(chars.length()));
            sb.append(c);
        }
        return sb.toString();
    }
...
}