使用 Golang 实现基于时间的一次性密码 TOTP-运维技术实践

什么是使用实现时间一次性密码 OTP ？

一次性密码（One Time Password），简称 OTP，基于是性密只能使用一次的密码。每次做身份认证时都会生成一个新的使用实现时间密码，在使用一次之后立即失效，基于不能重复使用。性密这种密码只能使用一次，使用实现时间因此即使攻击者能够窃取到密码，基于也无法再次使用该密码进行身份认证。性密

一次性密码的使用实现时间优点

安全性高，一次性密码只能使用一次，基于所以即使攻击者能够截获密码，免费模板性密也无法再次使用该密码进行第二次认证。使用实现时间易于使用，基于一次性密码通常是性密通过短信、电子邮件或专用的身份验证应用程序发送给用户的，通常是4到8位的数字、字母或数字字母组合，用户只需要输入收到的密码并且很方便输入。无需记忆，与传统的静态密码不同，云计算用户不需要记住一次性密码，降低了用户的认知负担，并减少了因忘记密码而导致的问题。

接下来看一下一次性密码实现的几种方式。

基于时间的一次性密码（Time-based One-Time Password，TOTP）

密码的有效性依赖当前的时间，每个密码都有一个固定的有效期，例如30秒或60秒。在这个时间窗口结束后，服务器租用密码会自动失效，系统会生成一个新的密码。

这种方法的优点是不依赖于网络连接，因此即使在没有网络连接的情况下，用户也可以生成密码。这种方法的缺点是对时间的同步要求较高，需要客户端和服务器之间的时间保持精确同步，并且用户必须在指定的模板下载时间窗口内输入密码，否则密码就会失效。

基于哈希的一次性密码（Hash-based One-Time Password，HOTP）

密码的生成依赖一个密钥和一个计数器。每当用户请求一个新的密码时，计数器就会增加，然后使用哈希函数和密钥生成一个新的密码。这种方法的优点是不依赖时间，因此用户可以在任何时间输入密码。相应的源码库缺点是如果计数器的值在服务器和用户设备之间不同步，就可能导致问题。

基于短信的一次性密码（SMS-based One-Time Password，SOTP）

密码需要通过短信发送给用户，当用户需要进行身份认证时，系统会发送一个密码到用户的手机。这种方法的优点是很方便直观，相应的缺点是依赖手机网络，亿华云如果用户没有手机信号或者手机被盗，就无法接收密码。此外，这种方法也容易受到短信劫持的攻击。

基于电子邮件的一次性密码（Email-based One-Time Password ，EOTP）

密码通过电子邮件发送给用户。与基于短信的一次性密码类似，这种方法的优点是很容易理解和使用。相应的缺点是依赖电子邮件，如果用户无法访问自己的电子邮件，就无法接收密码。此外，这种方法也容易受到电子邮件劫持的攻击。

理论上来说，一次性密码是最安全的。但目前还没有理想的一次性密码的实现方式，大多数情况下，一次性密码的使用场景还是用于辅助身份认证。

因为 TOTP 是标准化的协议并且被广泛采用，所以有很多对应的移动应用或者 web 应用实现，被称为身份验证器应用，例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多优秀的三方库可以帮助我们快速实现 TOTP 的服务端实现，其中比较有代表性的是 pquerna/otp 库，接下来就使用这个库来演示一下 TOTP 的服务端实现流程。

为用户生成 TOTP Key

用户开启双因子认证时，为用户生成 TOTP Key，用于生成 TOTP 密码。将这个密码保存在数据库或者秘钥管理系统中，生成 key 的关键代码如下：

复制key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, })1.2.3.4.5.6.7.

这几个参数的意思如下：

Issuer 意思是应用名称，例如 Github 。AccountName 意思要给哪个用户生成 key。Period 意思是 TOTP 密码的有效时间，也是不同 TOTP 密码的生成时间间隔，一般为 30 秒。Digits 意思是生成的密码长度，一般为 6 位。Algorithm ，用于 HMAC 签名的算法，默认是 SHA1。

把密钥和密码生成规则分享给用户

通常是将秘钥和密码规则信息以二维码的形式展示给用户，用户使用身份验证器应用扫描二维码保存相关信息并且生成密码。二维码中的内容格式一般如下：

otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM

为用户提供“恢复码” Recovery Codes

生成“恢复码” Recovery Codes （使用随机生成的字符串即可）存储到数据库或者秘钥管理系统中。当用户不能访问自己的 TOTP 设备（例如将 TOTP 应用中的 TOTP 秘钥删除了、将 TOTP 应用卸载了、手机丢失了等）时，就无法登录自己的帐户了。因为这种情况比较常见，所以很多网站都会给用户提供“备份代码”或“恢复代码”，并且每个只能使用一次，可以临时用来代替 TOTP 密码。

校验用户输入的 TOTP 密码

用户再次登录后，触发双因子认证，要求用户输入 TOTP 密码，服务端检验这个密码。校验的关键代码如下：

复制// 验证一次性密码 isValid := totp.Validate(passcode, key.Secret())1.2.

模拟生成密钥、校验密码的代码

复制package main import ( "fmt" "time" "github.com/pquerna/otp" "github.com/pquerna/otp/totp" ) func main() { // 生成密钥 key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, }) if err != nil { panic(err) } fmt.Println("Secret URL: ", key.URL()) // 模拟生成一个一次性密码 now := time.Now() passcode, err := totp.GenerateCode(key.Secret(), now) if err != nil { panic(err) } // 验证一次性密码 valid := totp.Validate(passcode, key.Secret()) if valid { fmt.Println("Valid passcode!") } else { fmt.Println("Invalid passcode!") } }1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.