导语:之前做过一个小我的项目,其中用到了F2A(双因素认证)进行登录以及其余的用户身份认证,当初就这个性能的原理以及实现做一个总结。
目录
- F2A原理
- 实现办法
- 实战演练
F2A原理
F2A就是双因素认证的缩写,一种采纳工夫同步技术的零碎,采纳了基于工夫、事件和密钥三变量而产生的一次性明码来代替传统的动态明码。
大家都晓得个别网站验证用户身份都是采纳单因素认证,比方:用户名+明码,还有的是手机号+短信验证码。
然而用户+明码的容易被黑客爆破,脱库,撞库进行获取;而短信验证码也容易被伪基站,钓鱼网站,WIFI等伎俩获取到,从而透露用户隐衷信息。
明天介绍的这个F2A就是在应用了上述提到的办法外,再另外加一层防护网,对用户登录进行二次验证,验证码是基于用户密钥独立生成的,随机生存的6位数。
而且是在独立的APP专门设施下面寄存,只有你本人能够查看,而且这个验证码是60秒切换一次,每次都不一样,加大了黑客破解的工夫难度。
实现办法
持续关上上次的demo文件夹,而后创立一个f2a文件夹,写入一个文件index.js。
这次要实现的性能包含以下几点:
- 生成二维码性能;
- 生成F2A密钥
- 验证F2A明码
生成二维码性能
这个性能比较简单,装置一个qrcode就能够了。
$ npm install qrcode --saveconst express = require('express');
const app = express();
const qrcode = require('qrcode');
app.get('/f2a/qrcode', (req, res) => {
let url = req.query.url;
if (!url) {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "url不能为空!"
}
});
}
qrcode.toDataURL(url, (err, data) => {
return res.send('<img src="' + data + '">');
})
})关上游览器,轻易输出一个网址参数,来测试一下。
这里应用百度一下:http://localhost:3000/f2a/qrcode?url=https://www.baidu.com/。
这里是预览截图:
生成F2A密钥
接下来就是明天的配角退场,F2A双因素。
先来下载一个依赖包,装置一下引入文件。
$ npm install speakeasy --save获取F2A
这里次要应用generateSecret来创立F2A密钥信息;
const express = require('express');
const app = express();
const speakeasy = require('speakeasy');
app.get('/f2a', (req, res) => {
let secret = speakeasy.generateSecret({length: 20});
return res.json({
code: 200,
msg: 'get_succ',
data: {
info: '获取胜利',
secret: secret.base32,
url: secret.otpauth_url,
}
});
})其中secret就是你的集体密钥,url就是你的F2A设施要扫描的地址。
接下来在游览器看一下成果。
验证F2A明码
这里次要应用totp.verify办法来验证六位数字是否为正确。
app.post('/f2a', (req, res) => {
let token = req.body.code;
let secret = req.body.secret;
if (!token) {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "验证码不能为空!"
}
});
}
if (!(/^\d{6}$/.test(token))) {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "验证码格局不正确!"
}
});
}
if (!secret) {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "密钥不能为空!"
}
});
}
let verifyInfo = {
secret,
encoding: 'base32',
token,
}
let verify = speakeasy.totp.verify(verifyInfo);
if (verify) {
return res.json({
code: 200,
msg: 'get_succ',
data: {
info: "验证胜利!"
}
});
} else {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "验证失败!"
}
});
}
})其实这个依赖包还有个生成随机六位数的办法。
app.get('/code', (req, res) => {
let secret = req.query.secret;
if (!secret) {
return res.json({
code: 101,
msg: 'get_fail',
data: {
info: "密钥不能为空!"
}
});
}
var token = speakeasy.totp({
secret,
encoding: 'base32'
});
return res.json({
code: 200,
msg: 'get_succ',
data: {
info: "获取胜利!",
code: token,
}
});
})关上http://localhost:3000/f2a/code?secret=F44T62DGOJJT66TLH5WGWVBQJ47XUZJO,会呈现一个六位数,这个就是生成的,大概有60秒有限期。
这个code外面的六位数其实和F2A利用的六位数是等效的,一样的,你也能够应用这个办法做一个相似的小程序,扫码绑定,显示六位数,这也是能够的。
实战演练
当初F2A的性能基本上是实现了,然而想要体验一下,你必须筹备好F2A利用才能够。
这里举荐三个比拟罕用F2A利用:
- authy
- 微信小程序:二次验证码
有了利用后,
绑定F2A
先关上那个网址,因为是get申请,间接在游览器关上,获取到密钥和地址。
当初曾经进去了,
- 密钥是secret的值:
F44T62DGOJJT66TLH5WGWVBQJ47XUZJO, - 地址是url的值:
otpauth://totp/SecretKey?secret=F44T62DGOJJT66TLH5WGWVBQJ47XUZJO
接下来有两种办法绑定:
- 间接在F2A利用输出secret外面;
- 扫描二维码更不便(省去输出环节);
接下来采纳第二种办法。
在游览器关上http://localhost:3000/f2a/qrcode?url=otpauth://totp/SecretKey?secret=F44T62DGOJJT66TLH5WGWVBQJ47XUZJO,看到一个二维码,应用F2A利用扫描后,胜利绑定。
F2A验证
这次应用postman进行验证,关上postman软件,输出url以及参数。
点击发送按钮,能够如下图,验证胜利。
以上就是应用node实现F2A性能的一个根本的应用办法总结。
发表回复