我正在尝试使用可以通过 Google Authenticator application 生成的一次性密码。 .
Google 身份验证器的作用
基本上,Google Authenticator 实现了两种类型的密码:
- HOTP - 基于 HMAC 的一次性密码,这意味着每次调用都会更改密码,符合 RFC4226 , 和
- TOTP - 基于时间的一次性密码,每 30 秒更改一次(据我所知)。
Google Authenticator 也可在此处作为开源获得:code.google.com/p/google-authenticator
当前代码
我一直在寻找生成 HOTP 和 TOTP 密码的现有解决方案,但没有找到太多。我拥有的代码是以下负责生成 HOTP 的代码段:
import hmac, base64, struct, hashlib, time
def get_token(secret, digest_mode=hashlib.sha1, intervals_no=None):
if intervals_no == None:
intervals_no = int(time.time()) // 30
key = base64.b32decode(secret)
msg = struct.pack(">Q", intervals_no)
h = hmac.new(key, msg, digest_mode).digest()
o = ord(h[19]) & 15
h = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000
return h
我面临的问题是我使用上述代码生成的密码与使用适用于 Android 的 Google Authenticator 应用程序生成的密码不同。即使我尝试了多个 intervals_no 值(正好是第一个 10000,以 intervals_no = 0 开头),其中 secret 等于 GA 中提供的 key 应用程序。
我的问题
我的问题是:
- 我做错了什么?
- 如何在 Python 中生成 HOTP 和/或 TOTP?
- 是否有任何现有的 Python 库用于此?
总结一下:请给我任何有助于我在 Python 代码中实现 Google Authenticator 身份验证的线索。
最佳答案
我想为我的问题设置一个赏金,但我已经成功地创建了解决方案。我的问题似乎与 secret 键的错误值有关(它必须是 base64.b32decode() 函数的正确参数)。
下面我发布了完整的工作解决方案,并解释了如何使用它。
代码
下面的代码就足够了。我还将它作为单独的模块上传到 GitHub,名为 onetimepass(可在此处获得:https://github.com/tadeck/onetimepass)。
import hmac, base64, struct, hashlib, time
def get_hotp_token(secret, intervals_no):
key = base64.b32decode(secret, True)
msg = struct.pack(">Q", intervals_no)
h = hmac.new(key, msg, hashlib.sha1).digest()
o = ord(h[19]) & 15
h = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000
return h
def get_totp_token(secret):
return get_hotp_token(secret, intervals_no=int(time.time())//30)
它有两个功能:
get_hotp_token()生成一次性 token (单次使用后会失效),get_totp_token()根据时间生成 token (每 30 秒更改一次),
参数
关于参数:
secret是服务器(上述脚本)和客户端(Google Authenticator,通过在应用程序中提供密码)已知的 secret 值,intervals_no是每次生成 token 后递增的数字(这应该可以在服务器上通过在过去最后一次成功检查后检查一些有限数量的整数来解决)
如何使用
- 生成
secret(它必须是base64.b32decode()的正确参数) - 最好是 16 字符(没有=符号),因为它确实适用于脚本和 Google Authenticator。 - 如果您希望一次性密码在每次使用后失效,请使用
get_hotp_token()。在 Google Authenticator 中,我提到的这种类型的密码是基于计数器的。为了在服务器上检查它,您需要检查intervals_no的几个值(因为您无法保证用户由于某种原因没有在请求之间生成传递),但不少于最后一个工作intervals_no值(因此您可能应该将其存储在某个地方)。 - 如果您希望 token 以 30 秒的间隔工作,请使用
get_totp_token()。您必须确保两个系统都设置了正确的时间(这意味着它们在任何给定的时间都生成相同的 Unix 时间戳)。 - 确保保护自己免受暴力攻击。如果使用基于时间的密码,那么在不到 30 秒的时间内尝试 1000000 个值就有 100% 的机会猜出密码。对于基于 HMAC 的密码 (HOTP),情况似乎更糟。
示例
将以下代码用于一次性基于 HMAC 的密码时:
secret = 'MZXW633PN5XW6MZX'
for i in xrange(1, 10):
print i, get_hotp_token(secret, intervals_no=i)
你会得到以下结果:
1 448400
2 656122
3 457125
4 35022
5 401553
6 581333
7 16329
8 529359
9 171710
对应于 Google Authenticator 应用生成的 token (除非短于 6 个符号,否则应用会在开头添加零以达到 6 个字符的长度)。
关于python - Python 中的 Google 身份验证器实现,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8529265/