หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

otp: ยูทิลิตี้รหัสผ่านครั้งเดียว Go / Golang

ทำไมต้องใช้รหัสผ่านครั้งเดียว?

รหัสผ่านครั้งเดียว (OTP) เป็นกลไกในการปรับปรุงความปลอดภัยผ่านรหัสผ่านเพียงอย่างเดียว เมื่อ OTP ตามเวลา (TOTP) ถูกจัดเก็บไว้ในโทรศัพท์ของผู้ใช้ และรวมกับสิ่งที่ผู้ใช้รู้ (รหัสผ่าน) คุณจะเพิ่มความสะดวกในการตรวจสอบสิทธิ์แบบหลายปัจจัยโดยไม่ต้องเพิ่มการพึ่งพาผู้ให้บริการ SMS รหัสผ่านและชุดค่าผสม TOTP นี้ถูกใช้โดยเว็บไซต์ยอดนิยมหลายแห่ง รวมถึง Google, GitHub, Facebook, Salesforce และอื่นๆ อีกมากมาย

ไลบรารี otp ช่วยให้คุณสามารถเพิ่ม TOTP ลงในแอปพลิเคชันของคุณได้อย่างง่ายดาย เพิ่มความปลอดภัยของผู้ใช้จากการละเมิดรหัสผ่านจำนวนมากและมัลแวร์

เนื่องจาก TOTP ได้รับมาตรฐานและมีการนำไปใช้อย่างกว้างขวาง จึงมีการติดตั้งไคลเอนต์มือถือและซอฟต์แวร์จำนวนมาก

otp รองรับ:

  • การสร้างภาพ QR Code เพื่อการลงทะเบียนผู้ใช้ที่ง่ายดาย
  • อัลกอริธึมรหัสผ่านครั้งเดียวตามเวลา (TOTP) (RFC 6238): OTP ตามเวลา ซึ่งเป็นวิธีที่ใช้บ่อยที่สุด
  • อัลกอริทึมรหัสผ่านครั้งเดียวที่ใช้ HMAC (HOTP) (RFC 4226): OTP ที่ใช้ตัวนับซึ่ง TOTP ยึดตาม
  • การสร้างและการตรวจสอบรหัสสำหรับอัลกอริทึมทั้งสอง

การใช้ TOTP ในแอปพลิเคชันของคุณ:

การลงทะเบียนผู้ใช้

สำหรับตัวอย่างขั้นตอนการทำงานของการลงทะเบียน GitHub ได้จัดทำเอกสารไว้แล้ว แต่ข้อมูลพื้นฐานคือ:

  1. สร้างคีย์ TOTP ใหม่สำหรับผู้ใช้ key,_ := totp.Generate(...)
  2. แสดงความลับของคีย์และรหัส QR สำหรับผู้ใช้ key.Secret() และ key.Image(...)
  3. ทดสอบว่าผู้ใช้สามารถใช้ TOTP ได้สำเร็จ totp.Validate(...) .
  4. จัดเก็บ TOTP Secret สำหรับผู้ใช้ไว้ในแบ็กเอนด์ของคุณ key.Secret()
  5. ระบุ "รหัสกู้คืน" ให้กับผู้ใช้ (ดูรหัสการกู้คืนด้านล่าง)

การสร้างรหัส

  • ในกรณี TOTP หรือ HOTP ให้ใช้ฟังก์ชัน GenerateCode และตัวนับหรือโครงสร้าง time.Time เพื่อสร้างโค้ดที่ถูกต้องซึ่งเข้ากันได้กับการใช้งานส่วนใหญ่
  • สำหรับการตั้งค่าที่ผิดปกติหรือแบบกำหนดเอง หรือเพื่อตรวจจับข้อผิดพลาดที่ไม่น่าจะเป็นไปได้ ให้ใช้ GenerateCodeCustom ในโมดูลใดโมดูลหนึ่ง

การตรวจสอบ

  1. แจ้งและตรวจสอบรหัสผ่านของผู้ใช้ตามปกติ
  2. หากผู้ใช้เปิดใช้งาน TOTP ให้ป้อนรหัสผ่าน TOTP
  3. ดึงข้อมูลลับ TOTP ของผู้ใช้จากแบ็กเอนด์ของคุณ
  4. ตรวจสอบรหัสผ่านของผู้ใช้ totp.Validate(...)

รหัสการกู้คืน

เมื่อผู้ใช้สูญเสียการเข้าถึงอุปกรณ์ TOTP พวกเขาจะไม่สามารถเข้าถึงบัญชีของตนได้อีกต่อไป เนื่องจาก TOTP มักได้รับการกำหนดค่าบนอุปกรณ์เคลื่อนที่ที่อาจสูญหาย ถูกขโมย หรือเสียหายได้ นี่จึงเป็นปัญหาที่พบบ่อย ด้วยเหตุนี้ผู้ให้บริการหลายรายจึงให้ "รหัสสำรอง" หรือ "รหัสกู้คืน" แก่ผู้ใช้ เป็นชุดรหัสแบบใช้ครั้งเดียวที่สามารถใช้แทน TOTP ได้ สิ่งเหล่านี้สามารถเป็นสตริงที่สร้างขึ้นแบบสุ่มที่คุณจัดเก็บไว้ในแบ็กเอนด์ของคุณ เอกสารประกอบของ Github จะให้ภาพรวมของประสบการณ์ผู้ใช้

การปรับปรุง ข้อบกพร่อง เพิ่มคุณสมบัติ ฯลฯ:

โปรดเปิดประเด็นใน Github เพื่อดูแนวคิด จุดบกพร่อง และความคิดทั่วไป แน่นอนว่าคำขอดึงนั้นเป็นที่ต้องการ :)

ใบอนุญาต

otp ได้รับอนุญาตภายใต้ Apache License เวอร์ชัน 2.0

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด