الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

مكتب المدعي العام: الأدوات المساعدة لكلمة المرور لمرة واحدة Go / Golang

لماذا كلمات المرور لمرة واحدة؟

كلمات المرور لمرة واحدة (OTPs) هي آلية لتحسين الأمان عبر كلمات المرور وحدها. عندما يتم تخزين OTP المستند إلى الوقت (TOTP) على هاتف المستخدم، ودمجه مع شيء يعرفه المستخدم (كلمة المرور)، يكون لديك طريقة سهلة للوصول إلى المصادقة متعددة العوامل دون إضافة اعتماد على مزود خدمة الرسائل القصيرة. يتم استخدام مجموعة كلمة المرور وTOTP هذه بواسطة العديد من مواقع الويب الشهيرة بما في ذلك Google وGitHub وFacebook وSalesforce وغيرها الكثير.

تتيح لك مكتبة otp إمكانية إضافة TOTPs بسهولة إلى تطبيقك الخاص، مما يزيد من أمان المستخدم ضد اختراقات كلمات المرور الجماعية والبرامج الضارة.

نظرًا لأن TOTP موحد ومنتشر على نطاق واسع، فهناك العديد من عملاء الأجهزة المحمولة وتطبيقات البرامج.

يدعم otp :

  • إنشاء صور رمز الاستجابة السريعة لسهولة تسجيل المستخدم.
  • خوارزمية كلمة المرور لمرة واحدة (TOTP) (RFC 6238): OTP المستندة إلى الوقت، وهي الطريقة الأكثر استخدامًا.
  • خوارزمية كلمة المرور لمرة واحدة المستندة إلى HMAC (HOTP) (RFC 4226): OTP القائم على العداد، والذي يعتمد عليه TOTP.
  • إنشاء والتحقق من صحة الرموز لأي من الخوارزمية.

تنفيذ TOTP في التطبيق الخاص بك:

تسجيل المستخدم

للحصول على مثال لسير عمل تسجيل العمل، قام GitHub بتوثيق سير العمل الخاص بهم، ولكن الأساسيات هي:

  1. إنشاء مفتاح TOTP جديد للمستخدم. key,_ := totp.Generate(...) .
  2. عرض سر المفتاح ورمز QR للمستخدم. key.Secret() و key.Image(...) .
  3. اختبر أن المستخدم يمكنه استخدام TOTP الخاص به بنجاح. totp.Validate(...) .
  4. قم بتخزين سر TOTP للمستخدم في الواجهة الخلفية لديك. key.Secret()
  5. تزويد المستخدم بـ "رموز الاسترداد". (انظر رموز الاسترداد أدناه)

توليد الكود

  • في حالات TOTP أو HOTP، استخدم وظيفة GenerateCode وبنية العداد أو time.Time لإنشاء رمز صالح متوافق مع معظم عمليات التنفيذ.
  • بالنسبة للإعدادات غير الشائعة أو المخصصة، أو لاكتشاف الأخطاء غير المحتملة، استخدم GenerateCodeCustom في أي من الوحدتين.

تصديق

  1. المطالبة والتحقق من صحة كلمة مرور المستخدم كالمعتاد.
  2. إذا قام المستخدم بتمكين TOTP، فاطلب رمز مرور TOTP.
  3. استرجع سر TOTP الخاص بالمستخدم من الواجهة الخلفية لديك.
  4. التحقق من صحة رمز المرور الخاص بالمستخدم. totp.Validate(...)

رموز الاسترداد

عندما يفقد المستخدم إمكانية الوصول إلى جهاز TOTP الخاص به، فلن يتمكن بعد ذلك من الوصول إلى حسابه. نظرًا لأن TOTPs يتم تكوينها غالبًا على الأجهزة المحمولة التي يمكن فقدانها أو سرقتها أو تلفها، فهذه مشكلة شائعة. لهذا السبب، يمنح العديد من مقدمي الخدمة مستخدميهم "رموزًا احتياطية" أو "رموز استرداد". هذه مجموعة من رموز الاستخدام لمرة واحدة والتي يمكن استخدامها بدلاً من TOTP. يمكن ببساطة أن تكون هذه سلاسل يتم إنشاؤها عشوائيًا وتقوم بتخزينها في الواجهة الخلفية لديك. توفر وثائق Github نظرة عامة على تجربة المستخدم.

التحسينات والأخطاء وإضافة الميزات وما إلى ذلك:

يرجى فتح القضايا في Github للأفكار والأخطاء والأفكار العامة. طلبات السحب هي المفضلة بالطبع :)

رخصة

otp مرخص بموجب ترخيص أباتشي، الإصدار 2.0

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل