51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

安全无忧!在 Spring Boot 3.3 中轻松实现 TOTP 双因素认证

作者:编程疏影
开发 架构
本 TOTP 注册系统通过结合现代前端技术与稳健的后端架构,成功实现了高效、安全的用户注册流程。系统的设计充分考虑了安全性与用户体验,确保用户在注册过程中能够快速获取所需信息,而不影响安全标准。

随着互联网的快速发展,网络安全问题日益严峻。传统的用户名和密码认证方式已经无法满足现代应用对安全性的要求,因此双因素认证(2FA)成为了提升安全性的有效手段。双因素认证不仅要求用户输入密码,还需通过第二种方式进行身份验证,例如手机生成的动态验证码。

时间同步一次性密码(TOTP)是一种基于时间的双因素认证方式,它通过算法生成短期有效的验证码。用户在登录时,需要输入从手机应用(如 Google Authenticator)获取的 TOTP 代码。由于 TOTP 代码每 30 秒更新一次,即使攻击者获取了用户的密码,没有有效的 TOTP 代码,也无法登录账户。

本文将详细介绍如何在 Spring Boot 3.3 中实现基于 TOTP 的双因素认证,涵盖从依赖配置、服务实现到前端展示的完整过程。

什么是 TOTP?

TOTP(Time-based One-Time Password)是一种用于双因素认证的算法,它基于当前时间和用户的共享秘密(密钥)生成一次性密码。TOTP 主要遵循以下步骤:

  1. 密钥生成:在用户账户创建时生成一个共享密钥,并与用户的身份绑定。该密钥通常以 Base32 编码格式存储。
  2. 时间戳使用:TOTP 使用当前时间戳,将时间分成固定的时间段(例如,30 秒)。每个时间段生成一个唯一的 TOTP 密码。
  3. 动态密码生成:通过将共享密钥和当前时间戳作为输入,使用 HMAC-SHA1 或类似算法生成一次性密码。
  4. 验证过程:在用户登录时,服务器端也使用相同的共享密钥和当前时间戳生成 TOTP 密码,并与用户输入的密码进行比对。

这种机制保证了每次登录时生成的密码都是唯一且短暂的,极大地提升了账户的安全性。

运行效果:

图片

若想获取项目完整代码以及其他文章的项目源码,且在代码编写时遇到问题需要咨询交流,欢迎加入下方的知识星球。

项目依赖配置

首先,在 pom.xml 中添加所需的依赖:

<?xml versinotallow="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>3.3.4</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.icoderoad</groupId>
	<artifactId>totp-authentication</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>totp-authentication</name>
	<description>Demo project for Spring Boot</description>
	
	<properties>
		<java.version>17</java.version>
	</properties>
	<dependencies>
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
        </dependency>
        <dependency>
            <groupId>dev.samstevens.totp</groupId>
            <artifactId>totp</artifactId>
            <version>1.7.1</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <scope>provided</scope>
        </dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>

配置文件

接下来,我们在 application.yml 中配置所需的属性:

server:
  port: 8080
  
totp:
  time-step: 30
  length: 6

生成和配置密钥

生成密钥服务类

package com.icoderoad.totp.service;

import org.springframework.stereotype.Service;

import dev.samstevens.totp.secret.DefaultSecretGenerator;
import dev.samstevens.totp.secret.SecretGenerator;

@Service
public class SecretService {
    private final SecretGenerator secretGenerator = new DefaultSecretGenerator();

    public String generateSecret() {
        // 生成安全的随机 base32 编码字符串
        return secretGenerator.generate();
    }
}

属性配置类

package com.icoderoad.totp.config;

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import lombok.Data;

@Data
@Component
@ConfigurationProperties(prefix = "totp")
public class TotpProperties {
    private int timeStep = 30; // 默认值为 30 秒
    private int length = 6;     // 默认值为 6 位
}

配置 TOTP 生成器

package com.icoderoad.totp.service;

import com.icoderoad.totp.config.TotpProperties;
import dev.samstevens.totp.time.TimeProvider;
import dev.samstevens.totp.time.SystemTimeProvider;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class TotpConfiguration {

    private final TotpProperties totpProperties;

    public TotpConfiguration(TotpProperties totpProperties) {
        this.totpProperties = totpProperties;
    }

    @Bean
    public TimeProvider timeProvider() {
        return new SystemTimeProvider(); // 使用系统时间提供者
    }

    @Bean
    public int getTotpLength() {
        return totpProperties.getLength();
    }

    public int getTimeStepInSeconds() {
        return totpProperties.getTimeStep();
    }
}

TOTP 生成和验证

TOTP 生成服务

package com.icoderoad.totp.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.icoderoad.totp.config.TotpProperties;

import dev.samstevens.totp.code.CodeGenerator;
import dev.samstevens.totp.code.DefaultCodeGenerator;
import dev.samstevens.totp.exceptions.CodeGenerationException;
import dev.samstevens.totp.time.SystemTimeProvider;
import dev.samstevens.totp.time.TimeProvider;

@Service
public class TotpGeneratorService {
	
	@Autowired
	private TotpProperties totpProperties;
	
    private final CodeGenerator codeGenerator;
    private final TimeProvider timeProvider;

    @Autowired
    public TotpGeneratorService(TimeProvider timeProvider) {
        this.timeProvider = timeProvider != null ? timeProvider : new SystemTimeProvider();
        this.codeGenerator = new DefaultCodeGenerator(); // 使用默认构造函数
    }

    public String generateTotp(String secret) {
        long counter = getCounter();
        try {
			return codeGenerator.generate(secret, counter);
		} catch (CodeGenerationException e) {
			return "";
		}
    }

    private long getCounter() {
        long timeStep = totpProperties.getTimeStep();
        return timeProvider.getTime() / timeStep;
    }
}

TOTP 验证服务

package com.icoderoad.totp.service;

import dev.samstevens.totp.code.CodeVerifier;
import dev.samstevens.totp.code.DefaultCodeVerifier;
import dev.samstevens.totp.code.DefaultCodeGenerator;
import dev.samstevens.totp.exceptions.CodeGenerationException;
import dev.samstevens.totp.time.TimeProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import com.icoderoad.totp.config.TotpProperties;

@Service
public class TotpVerificationService {
    private final DefaultCodeVerifier codeVerifier;
    private final TimeProvider timeProvider;
    
	private final TotpProperties totpProperties;

    @Autowired
    public TotpVerificationService(TimeProvider timeProvider, TotpProperties totpProperties) {
    	this.totpProperties = totpProperties;
        this.timeProvider = timeProvider;
        this.codeVerifier = new DefaultCodeVerifier(new DefaultCodeGenerator(), timeProvider);
        this.codeVerifier.setTimePeriod(this.totpProperties.getTimeStep()); // 从配置文件中读取或设置
        this.codeVerifier.setAllowedTimePeriodDiscrepancy( this.totpProperties.getLength() ); // 可配置的时间误差
    }

    public boolean verifyTotp(String secret, String code) {
        return codeVerifier.isValidCode(secret, code);
    }
}

用户注册与 TOTP 集成

UserService 类

package com.icoderoad.totp.service;

import org.springframework.stereotype.Service;

import java.util.HashMap;
import java.util.Map;

@Service
public class UserService {
    // 使用 HashMap 模拟用户存储(可以替换为数据库实现)
    private final Map<String, String> userSecrets = new HashMap<>();

    /**
     * 保存用户的 TOTP 秘密
     *
     * @param username 用户名
     * @param secret   用户的 TOTP 秘密
     */
    public void saveUserSecret(String username, String secret) {
        userSecrets.put(username, secret);
    }

    /**
     * 根据用户名获取 TOTP 秘密
     *
     * @param username 用户名
     * @return TOTP 秘密
     */
    public String findSecretByUsername(String username) {
        return userSecrets.get(username);
    }

    // 可以添加更多与用户相关的方法,如验证用户、获取用户信息等
}

QRCodeGenerator类

package com.icoderoad.totp.generator;

import org.springframework.stereotype.Component;

import dev.samstevens.totp.exceptions.QrGenerationException;
import dev.samstevens.totp.qr.QrData;
import dev.samstevens.totp.qr.ZxingPngQrGenerator;

@Component
public class QRCodeGenerator {

    private final ZxingPngQrGenerator qrGenerator;

    public QRCodeGenerator() {
        this.qrGenerator = new ZxingPngQrGenerator();
    }

    public byte[] generate(String secret, String username, String issuer, int digits, int period) throws QrGenerationException {
        // 创建 QR 数据
        QrData qrData = new QrData.Builder()
                .label(username)
                .secret(secret)
                .issuer(issuer)
                .digits(digits)
                .period(period)
                .build();

        // 生成 QR 代码
        return qrGenerator.generate(qrData);
    }

    public String generateQrCodeUrl(String secret, String username, String issuer, int digits, int period) throws QrGenerationException {
        byte[] qrCodeBytes = generate(secret, username, issuer, digits, period);
        
        // 将生成的 QR 代码转换为 Base64 URL,便于在 HTML 中显示
        return "data:image/png;base64," + java.util.Base64.getEncoder().encodeToString(qrCodeBytes);
    }
}

RegistrationResponse类

package com.icoderoad.totp.controller;

public class RegistrationResponse {
    private final String secret;
    private final String qrCodeUrl;

    public RegistrationResponse(String secret, String qrCodeUrl) {
        this.secret = secret;
        this.qrCodeUrl = qrCodeUrl;
    }

    public String getSecret() {
        return secret;
    }

    public String getQrCodeUrl() {
        return qrCodeUrl;
    }
}

注册控制器

package com.icoderoad.totp.controller;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import com.icoderoad.totp.dto.UserDto;
import com.icoderoad.totp.generator.QRCodeGenerator;
import com.icoderoad.totp.service.SecretService;
import com.icoderoad.totp.service.UserService;

import dev.samstevens.totp.exceptions.QrGenerationException;

@RestController
public class RegistrationController {

总结

本 TOTP 注册系统通过结合现代前端技术与稳健的后端架构,成功实现了高效、安全的用户注册流程。系统的设计充分考虑了安全性与用户体验,确保用户在注册过程中能够快速获取所需信息,而不影响安全标准。总体而言,该系统不仅提升了用户账户的安全性,也通过友好的操作流程增强了用户的信任感,为未来的扩展和优化打下了坚实基础。

责任编辑:武晓燕 来源: 路条编程
前端技术架构
相关推荐
如何在Spring Webflux实现因素认证
在本文中,我将和您讨论如何在SpringWebflux中通过RESTAPI实现双因素认证。

2020-05-25 07:00:00

双因素认证身份认证密码
如何实现因素认证
2021年5月12日,美国总统乔·拜登发布了一项行政命令,使2FA成为所有政府机构的法律要求。联邦调查局、国土安全部和国家安全局等联邦机构有180天的时间对所有数据实施2FA保护。

2022-08-01 00:08:03

双因素认证2FA
如何使用 CGLIB Spring Boot 3.3 实现动态代理
本文详细介绍了如何在SpringBoot3.3中使用CGLIB实现动态代理。通过实际的代码示例,展示了CGLIB在动态代理中的应用,以及如何在SpringBoot项目中集成CGLIB。

2024-09-05 09:35:58

CGLIBSpring动态代理
让网站安全无忧 华为云网站安全解决方案11热销
华为云一直重视并努力搭建云平台的安全合规性,从硬件到应用层构建纵深防护体系,全面保障平台安全、合规。

2022-11-10 19:49:29

极致下载体验,网站安全无忧!华为云CDN12热销
华为云CDN帮助客户提供高效快速的下载服务体验。依托全球超2800个加速节点,智能调度用户请求至最优的边缘节点服务,就近接入

2022-12-19 16:17:21

CDN
上网安全桌面,让您安全无忧
在这个网络迅速发展的时代,使得互联网病毒也存在于网络环境中,那么我们怎么才能防止病毒对我们系统的危害呢如下我们给大家推荐一个"上网安全桌面"

2011-10-31 14:57:37

棱镜威胁已至 怎样安全无忧
近日,斯诺登爆料美国“棱镜”计划,像电影情节一样的事件突然出现在了我们身边,引发了轩然大波。《国家敌人》一下子来到了身边,每个人似乎都毫无隐私可言。

2013-06-19 11:26:39

安全令牌:防止因素令牌认证攻击
RSA公司最近发生的数据泄漏只是一系列备受瞩目的公司遭受严重安全事故的又一案例,而受害者的数目还在继续攀升。RSA公司表示,一种所谓的先进持续威胁(APT)能够对它的一些系统造成危害。

2011-08-15 09:31:55

Spring Boot如何集成Security实现安全认证
前面介绍了SpringBoot使用JWT实现Token验证,其实SpringBoot有完整的安全认证框架:SpringSecurity。接下来我们介绍如何集成Security实现安全验证。

2021-12-28 11:13:05

安全认证 Spring Boot
因素认证如何保证你的帐户安全
本文讲的是一些最佳的身份验证应用程序和选项,虽然设置过程可能需要一些时间,但是一旦启用了双因素认证,一切就都安全了。

2020-09-30 11:22:16

帐户安全
Twitter增加因素认证安全登录‘加锁'
随着近期几大重要媒体Twitter账户被盗,越来越多的公司开始推行双因素认证加强账户安全管理,Twitter随即也加入其中。

2013-05-23 18:03:25

Spring Boot 3.3 BOM 助你轻松简化微服务开发
通过SpringBoot3.3的BOM,我们成功简化了库存管理系统的依赖管理流程。在微服务开发中,BOM的引入能够统一管理依赖项的版本,避免版本冲突,提升项目的可维护性。

2024-10-07 08:18:05

SpringBOM管理
细致的内网安全管理,确保网络安全无忧
目前业界已经对安全问题有了长期的研究,并分为外网安全和内网安全两个范畴。而企业在外网安全方面通过防火墙、IDS、漏洞扫描等工具,能够很好地将危害拒之门外,但据统计表明企业IT系统的安全隐患80%来源于内网,这也就是我今天要谈到的问题,如何做好企业的内网安全管理。

2011-03-16 16:00:06

内网安全
东软网络安全:让智慧医疗安全无忧
东软集团副总裁兼网络安全事业部总经理杨纪文认为,医院信息系统建设与应用呈现出三个变化:一是从封闭转向开放,二是从独立转向协同,三是从辅助手段转向有力支撑。

2021-06-10 10:26:37

网络安全/智慧医疗
如何让数字化转型项目安全无忧
一个正受人关注的项目是数字转型。有时这种关注来自于CIO,有时则来自于另一高层领导。首席财务官可能会看到老旧硬件的经常性支出每年都在增加,以及维持遗留系统运行也需要资本支出。

2023-04-25 10:59:56

三道防线确保物联网设备安全无忧
物联网的基本安全可以分为三个简单步骤:保护设备,保护网络,知道物联网中有什么设备。请记住,虽然设备本身可能不包含敏感信息,但它们可能会让你的网络门户大开,设备越陈旧,它们构成的安全风险就越大。

2018-08-08 05:03:31

Spring Boot 3.3 集成 iText 实现高效电子签章
本文介绍了在SpringBoot3.3项目中集成iText实现电子签章的完整流程。通过配置文件管理签章参数、使用ConfigurationProperties​注入配置、Lombok​简化代码,以及使用jQuery​与Thymeleaf搭建前端界面,我们构建了一个简单而专业的电子签章功能。

2024-10-30 08:05:01

Spring参数电子签章
Spring Boot 3.3 ObjectMapper 的最佳实践!
在本文中,我们展示了如何在SpringBoot3.3中配置并优雅地使用ObjectMapper​,并通过前后端配合实现了一个简单的JSON数据展示示例。通过自定义ObjectMapper的配置,我们可以更灵活地处理JSON格式数据,使代码更加简洁和可维护。

2024-10-11 11:46:40

保护账户安全,Facebook计划2021年启动因素认证
Facebook透露,建议高知名度账户使用安全密钥,Facebook将安全密钥提供给Facebook账户持有者使用。

2020-12-24 17:12:29

账户安全双因素认证Facebook
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服