otp

ワンタイム パスワード (OTP) は、パスワードのみよりもセキュリティを向上させるメカニズムです。時間ベースの OTP (TOTP) がユーザーの電話機に保存され、ユーザーが知っているもの (パスワード) と組み合わせると、SMS プロバイダーへの依存関係を追加することなく、多要素認証への簡単な移行が可能になります。このパスワードと TOTP の組み合わせは、Google、GitHub、Facebook、Salesforce など、多くの人気のある Web サイトで使用されています。

otpライブラリを使用すると、TOTP を独自のアプリケーションに簡単に追加できるため、大量のパスワード侵害やマルウェアに対するユーザーのセキュリティが強化されます。

TOTP は標準化され、広く導入されているため、多くのモバイル クライアントとソフトウェア実装が存在します。

• ユーザー登録を容易にするための QR コード画像を生成します。
• 時間ベースのワンタイム パスワード アルゴリズム (TOTP) (RFC 6238): 時間ベースの OTP、最も一般的に使用される方法。
• HMAC ベースのワンタイム パスワード アルゴリズム (HOTP) (RFC 4226): TOTP のベースとなるカウンター ベースの OTP。
• いずれかのアルゴリズムのコードの生成と検証。

実際の登録ワークフローの例については、GitHub で文書化されていますが、基本は次のとおりです。

1. ユーザーの新しい TOTP キーを生成します。 key,_ := totp.Generate(...) 。
2. ユーザーのキーのシークレットと QR コードを表示します。 key.Secret()とkey.Image(...) 。
3. ユーザーが TOTP を正常に使用できることをテストします。 totp.Validate(...) 。
4. ユーザーの TOTP シークレットをバックエンドに保存します。 key.Secret()
5. ユーザーに「回復コード」を提供します。 (下記のリカバリーコードを参照してください)

• TOTP または HOTP のいずれの場合も、 GenerateCode関数とカウンタまたはtime.Time構造体を使用して、ほとんどの実装と互換性のある有効なコードを生成します。
• 一般的でない設定やカスタム設定の場合、または可能性の低いエラーを検出するには、いずれかのモジュールでGenerateCodeCustom使用します。

1. 通常どおり、ユーザーのパスワードを要求して検証します。
2. ユーザーが TOTP を有効にしている場合は、TOTP パスコードの入力を求められます。
3. バックエンドからユーザーの TOTP シークレットを取得します。
4. ユーザーのパスコードを検証します。 totp.Validate(...)

ユーザーが TOTP デバイスにアクセスできなくなると、自分のアカウントにアクセスできなくなります。 TOTP は紛失、盗難、破損の可能性があるモバイル デバイスに設定されることが多いため、これは一般的な問題です。このため、多くのプロバイダーはユーザーに「バックアップ コード」または「リカバリ コード」を提供しています。これらは、TOTP の代わりに使用できる 1 回限りの使用コードのセットです。これらは、単にランダムに生成された文字列であり、バックエンドに保存することができます。 Github のドキュメントでは、ユーザー エクスペリエンスの概要が説明されています。

アイデア、バグ、一般的な考えについては、Github で問題を開いてください。もちろんプルリクエストが優先されます:)

otp 、Apache License バージョン 2.0 に基づいてライセンスされています。