iOS 实现Google动态令牌

开篇直讲方法.

最近项目中有一个需求.编写用户独有的用户支付码.

支付码生成算法是一个对安全性比较高算法.不仅需要一个单项加密,逆向不可解的加密方式还需要在支付码中加载用户信息.所以我们商量如何完成该需求.

通过学习大量的加密算法与竞品应用的调查,我们最后决定使用Google动态令牌方法.

先简单了解一下Google动态令牌的原理:

google加密流程.jpg

整体经过两次加密,KEY值是两边共同约定的一串字符或数字.其中的变量只有"时间".

那么如何完成动态解密呢?

加入我们设置动态密码的有效期是30s那么我们以时间中的10秒为最小单位生成密码.每10秒内生成的密码是一样的(举例:1秒~9秒生成密码都是558897, 11秒~19秒生成密码都是238919).生成密码值后,后台进行验证.后台只需要生成最多3次密码并对照前端生成密码值,一致就可完成验证.

我们来看一下实际的SimpleDemo

    public MapAcquireAuthenticator(String checkCode, String secret) {

        String msg = null;

        Boolean success = false;

        Map returnMap = new HashMap<>();

        boolean check = GoogleAuthenticatorSample.authcode(checkCode, secret);// 验证码输入有误

        if (!check) {

            msg = "验证码不正确,校验失败!";

            returnMap.put("msg", msg);

            returnMap.put("success", success);return returnMap;

    }

    msg = "校验成功!";

    success = true;returnMap.put("msg", msg);

    returnMap.put("success", success);

    return returnMap;

}

public static Boolean authcode(String codes, String savedSecret) {//savedSecret == KEY, code : 条形码

    long code = 0L;

    try {

        code = Long.parseLong(codes); //string 转 long

    } catch (Exception arg7) {

        arg7.printStackTrace();

    }

    long t = System.currentTimeMillis();

    GoogleAuthenticatorSample ga = new GoogleAuthenticatorSample();

    ga.setWindowSize(3);

    boolean r = ga.check_code(savedSecret.toUpperCase(), code, t);

    return Boolean.valueOf(r);

}

private boolean check_code(String secret, long code, long timeMsec) { // secret:密钥 code:条形码 timeMsec:当前时间

    Base32 codec = new Base32();

    byte[] decodedKey = codec.decode(secret); //decodedKey Base32加密后结果

    long t = timeMsec / 1000L / 30L;

    for (int i = -this.window_size; i <= this.window_size; ++i) {

        long hash;

        try {    

        hash = (long) verify_code(decodedKey, t + (long) i);

        } catch (Exception arg13) {

        arg13.printStackTrace();

        throw new RuntimeException(arg13.getMessage());

        }

        if (hash == code) {

            return true;

        }

    }

    return false;

}

private static int verify_code(byte[] key, long t) throws NoSuchAlgorithmException, InvalidKeyException {

    byte[] data = new byte[8];

    long value = t;

    for (int signKey = 8; signKey-- > 0; value >>>= 8) {

        data[signKey] = (byte) ((int) value);

    }

    SecretKeySpec arg12 = new SecretKeySpec(key, "HmacSHA1");

    Mac mac = Mac.getInstance("HmacSHA1");

    mac.init(arg12);

    byte[] hash = mac.doFinal(data);

    int offset = hash[19] & 15;

    long truncatedHash = 0L;

    for (int i = 0; i < 4; ++i) {

        truncatedHash <<= 8;

        truncatedHash |= (long) (hash[offset + i] & 255);

    }

    truncatedHash &= 2147483647L;

    truncatedHash %= 1000000L;

    return (int) truncatedHash;

}

以上是后台的例子.是按照上诉流程基本原理执行.那么问题来了.前端如何完成加密过程呢?

我们先分析一下整体加密计算的流程.

第一步:

Base32 codec = new Base32();

byte[] decodedKey = codec.decode(secret); //decodedKey Base32加密后结果

先对secret进行Base32的加密,secret是两端共持有的公钥密码.先对公钥进行混乱处理,加强了整体加密结果的不可逆性.

 long t = timeMsec / 1000L / 30L;

timeMsec是分秒级的时间戳,除以1000获取到秒级,那么再除以30是标识了每个密码的有效期为30秒.

第二步:

  byte[] data = new byte[8];

  long value = t;

  for (int signKey = 8; signKey-- > 0; value >>>= 8) {

        data[signKey] = (byte) ((int) value);

    }

初始化一个8位byte数组,以时间作为数组元素.data作为下一个参数进行计算.

第三步:

SecretKeySpec arg12 = new SecretKeySpec(key, "HmacSHA1");

Mac mac = Mac.getInstance("HmacSHA1");

mac.init(arg12);

byte[] hash = mac.doFinal(data);

使用HMacSHA1加密,获取最后的加密结果hash.

第四步:

到此,加密操作已经完成.剩下的操作就是缩短密码位数了.

int offset = hash[19] & 15;

long truncatedHash = 0L;

for (int i = 0; i < 4; ++i) {

      truncatedHash <<= 8;

      truncatedHash |= (long) (hash[offset + i] & 255);

 }

truncatedHash &= 2147483647L;

truncatedHash %= 1000000L;

2147483647是2的32次幂,做与运算后取了一个32位二进制数,最后跟1000000取余数,就获取到了6位令牌数组.

那么接下来我们将它翻译成Objective-C,直接上代码

首先我们需要Base32加密方法与 HMACSHA1的加密方法.

Base32方法我在Google上找到作者叫Dave Poirier的MF_Base32Additions方法.HMACSHA1就可以直接使用YYKit的方法就可以.在这里就不详细介绍方法实现了.

    NSData*base32Data = [NSDatadataWithBase32String:key];

    long timeIn = ([NSDate date].timeIntervalSince1970 / 30);

    NSMutableData *mData = [NSMutableData dataWithLength:8];

    Byte*data = (Byte*) [mDatabytes];

    longvalue = timeIn;

    for(intsignKey =8; signKey-- >0; value = value >>8) {

        data[signKey] = (Byte)((int) (value));

    }

    NSData *SHA1Code = [[NSData dataWithBytes:data length:8] hmacSHA1DataWithKey:base32Data];

    Byte*hash = (Byte*) [SHA1Codebytes];

    intoffset = hash[19] &15;

    longtruncatedHash =0;

    for(inti =0; i <4; ++i) {

        truncatedHash = truncatedHash <<8;

        truncatedHash |= (long) (hash[offset + i] &255);

    }

    truncatedHash &=2147483647;

    truncatedHash %=1000000;

    FLog(@"EncryptCode NUM = %6ld", truncatedHash);

    NSString*secret =kStringWithFormat(@"%6ld", truncatedHash);

整体思路与上面是一致的.这样我们就实现了动态令牌的算法. Demo地址,里面有MF_Base32Additions加密算法,欢迎交流