谷歌验证器的原理及JS实现
作者:互联网
阅读本篇文章你可以了解到谷歌验证器的实现原理,并且可以自己使用node.js实现支持谷歌验证器的两步验证。
这两年发现身边的很多应用和网站纷纷支持两步验证,并且呼吁用户使用两步验证。
并且发现,除了Apple ID的两步验证之外,其它两步验证很多能看到谷歌验证器(Google Authenticator)的身影。
这让我产生了浓厚的兴趣,到底谷歌验证器的原理是什么,我自己能实现一个类似的验证器吗?
什么是两步验证
两步验证就是当用户输入账号密码并验证成功之后,需要额外输入一串一次性随机密码(一般是4-6位的数字),服务器以此确认登录者是用户本人。
两步验证的类型
- 短信验证
短信验证也是我们最熟悉最常用的两步验证,但是我认为短信验证有有以下几个缺点:需支付运营商短信费用、短信到达延迟、短信压根就没到达而网站不允许你立刻再次重发。相信你也有过等一条短信让你抓狂的经历。 - 动态密码器
玩过网易游戏的同学应该知道网易将军令,还有部分银行提供的动态密码器。我记得我以前第一次见到这个东西的时候就觉得很神奇,这东西不用联网居然就能验证用户。实际上它的实现原理和Google验证器的实现原理差不多,后面我们会详细讲到。 - 口令卡
口令卡是我认为最反人类的设计。曾经办工商银行网上银行的时候就有过一张,它上面是以矩阵的形式排列若干个字符,系统会给你一些坐标,要求你根据坐标找出相应的字符输入到系统。标签:谷歌,验证,两步,JS,密码,result,HOTP,hmac 来源: https://www.cnblogs.com/huangcong/p/11028910.html