otp

一次性密碼 (OTP) 是一種提高密碼安全性的機制。當基於時間的 OTP (TOTP) 儲存在使用者的手機上，並與使用者所知道的內容（密碼）結合使用時，您可以輕鬆進入多重身份驗證，而無需添加對 SMS 提供者的依賴。許多流行網站都使用此密碼和 TOTP 組合，包括 Google、GitHub、Facebook、Salesforce 等。

otp程式庫可讓您輕鬆地將 TOTP 新增至您自己的應用程式中，從而提高使用者針對大規模密碼外洩和惡意軟體的安全性。

由於 TOTP 是標準化的且廣泛部署，因此有許多行動用戶端和軟體實作。

• 產生二維碼圖像以方便用戶註冊。
• 基於時間的一次性密碼演算法 (TOTP) (RFC 6238)：基於時間的 OTP，最常用的方法。
• 基於 HMAC 的一次性密碼演算法 (HOTP) (RFC 4226)：基於計數器的 OTP，TOTP 的基礎。
• 任一演算法的程式碼產生和驗證。

對於有效註冊工作流程的範例，GitHub 已記錄了他們的流程，但基礎知識是：

1. 為使用者產生新的 TOTP 金鑰。 key,_ := totp.Generate(...) 。
2. 向使用者顯示金鑰的秘密和二維碼。 key.Secret()和key.Image(...) 。
3. 測試使用者是否可以成功使用他們的 TOTP。 totp.Validate(...) 。
4. 在您的後端儲存使用者的 TOTP 秘密。 key.Secret()
5. 向使用者提供「恢復代碼」。 （請參閱下面的恢復程式碼）

• 在 TOTP 或 HOTP 情況下，使用GenerateCode函數和計數器或time.Time結構來產生與大多數實作相容的有效程式碼。
• 對於不常見或自訂設置，或要擷取不太可能發生的錯誤，請在任一模組中使用GenerateCodeCustom 。

1. 照常提示並驗證使用者密碼。
2. 如果使用者啟用了 TOTP，則提示輸入 TOTP 密碼。
3. 從您的後端檢索使用者的 TOTP 秘密。
4. 驗證用戶的密碼。 totp.Validate(...)

當使用者無法存取其 TOTP 裝置時，他們將無法再存取其帳戶。由於 TOTP 通常配置在可能遺失、被盜或損壞的行動裝置上，因此這是一個常見問題。因此，許多提供者為用戶提供「備份代碼」或「恢復代碼」。這些是一組一次性程式碼，可以用來取代 TOTP。這些可以是您儲存在後端的隨機產生的字串。 Github 的文檔提供了使用者體驗的概述。

請在 Github 中開啟問題以獲取想法、錯誤和一般想法。拉取請求當然是首選:)

otp根據 Apache 授權 2.0 版獲得許可