必读

本文源码核心逻辑使用AspNetCore.Totp,为什么不使用AspNetCore.Totp而是使用源码封装后面将会说明。

为了防止不提供原网址的转载,特在这里加上原文链接:

https://www.cnblogs.com/yuefengkai/p/11408339.html

双因素认证

双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。就像我们去银行办卡送的口令牌.

一. 前言

最近公司内部SSO登录一直在找一种安全的方式,目前已实现方案:账号密码登录以及手机验证码登录,通过Apollo切换不同的登录方式,想起18年看到AspNetCore.Totp并也编写了DemodotNetCore-2FA登录,将之前写的再完善并且在此记录和分析,希望对大家有些帮助。

二. AspNetCore.Totp

说明一下为什么要用AspNetCore.Totp修改并且重新打包Brook.TotpAspNetCore.Totp在生成二维码链接时会访问404(google.com)网站,国内基本无法使用,这很不清真,还有就是注入需要注入接口和实现类,使用起来很繁琐,所以才萌生了让使用起来更方便,并且不依赖Google生成二维码

  1. 生成二维码
accountIdentity = accountIdentity.Replace(" ", "");

            var encodedSecretKey = Base32.Encode(accountSecretKey);

            var provisionUrl = UrlEncoder.Encode(string.Format("otpauth://totp/{0}?secret={1}&issuer={2}", accountIdentity, encodedSecretKey, UrlEncoder.Encode(issuer)));

            var protocol = useHttps ? "https" : "http";

            var url = $"{protocol}://chart.googleapis.com/chart?cht=qr&chs={qrCodeWidth}x{qrCodeHeight}&chl={provisionUrl}";

            var totpSetup = new TotpSetup

            {

                QrCodeImage = this.GetQrImage(url),

                ManualSetupKey = encodedSecretKey

            };
  1. 注入方式

    Startup注入
services.AddSingleton<ITotpSetupGenerator, TotpSetupGenerator>();

services.AddSingleton<ITotpValidator, TotpValidator>();

services.AddSingleton<ITotpGenerator, TotpGenerator>();

Controller注入

 private readonly ITotpGenerator _totpGenerator;

        private readonly ITotpSetupGenerator _totpSetupGenerator;

        private readonly ITotpValidator _totpValidator;

        public ValuesController(ITotpSetupGenerator totpSetupGenerator)

        {

            _totpSetupGenerator = totpSetupGenerator;

            _totpGenerator = new TotpGenerator();

            _totpValidator = new TotpValidator(_totpGenerator);

        }

三. Brook.Totp

  1. 二维码使用QRCoder来生成,不依赖外部网络
        /// <summary>

        /// 生成二维码

        /// </summary>

        /// <param name="provisionUrl"></param>

        /// <param name="pixelsPerModule"></param>

        /// <returns></returns>

        private string GetQrBase64Imageg(string provisionUrl,int pixelsPerModule)

        {

            QRCodeGenerator qrGenerator = new QRCodeGenerator();

            QRCodeData qrCodeData = qrGenerator.CreateQrCode(provisionUrl, QRCodeGenerator.ECCLevel.Q);

            Base64QRCode qrCode = new Base64QRCode(qrCodeData);

            string qrCodeImageAsBase64 = qrCode.GetGraphic(2);

            return  $"data:image/png;base64,{qrCodeImageAsBase64}";

        }
  1. 注入方式

    Startup注入
services.AddBrookTotp();

Controller注入

private readonly ITotp _totp;

public AccountController(ITotp totp)

{

        _totp = totp;

}

四.双因素APP

推荐使用Microsoft Authenticator支持IOS、安卓可自动备份

之前使用Google Authenticator手机坏了 Gitlab和DropBox 再也进不去了(心疼自己三秒钟)

五. 完整流程效果图

使用Microsoft Authenticator

  1. 正常登录

  2. 登录成功后绑定

  3. 绑定后再次登录

六.如何使用

所有源代码请参照我的GitHub https://github.com/yuefengkai/Brook.Totp

Demo中使用了

  1. EF Core In Memory Database所有的数据只存在内存中
  2. Cache in-memory
  3. dotNET Core Authentication

下方只展示部分代码

  1. 新建netCoreMVC项目添加Nuget包Brook.Totp

  2. Startup注入
services.AddMemoryCache();

services.AddSingleton<ICacheManage, CacheManage>();

services.AddBrookTotp();

services.AddDbContext<BrookTotpDBContext>(options => options.UseInMemoryDatabase(databaseName: "BrookTotpDB"));
  1. Controller使用
private readonly ITotp _totp;

public AccountController(ITotp totp)

{

        _totp = totp;

}

//获取二维码

[Authorize]

public IActionResult GetQr()

{

    var totpSetup = _totp.GenerateUrl("dotNETBuild", CurremtUser.Email, CurremtUser.SecretKeyFor2FA);

    return Json(new { qrCodeContennt = totpSetup.QrCodeImageContent });

}

//验证双因素校验码

[Authorize]

[HttpPost]

public async Task<IActionResult> Valid(int code)

{

    var valid = _totp.Validate(CurremtUser.SecretKeyFor2FA

        , code, 30);

    if (!valid)

    {

        return Json(new { result = 0, msg = "2FA校验失败" });

    }

    //校验成功后 如果是第一次绑定校验 需将用户的accountSecretKey 存入数据库

    CurremtUser.IsOpen2FA = true;

    await _userService.UpdateAsync(CurremtUser);

    _cacheManage.Remove(string.Format(CacheKeys.GetUserForEmail, CurremtUser.Email));

    var claims = new List<Claim>

    {

        new Claim("user", CurremtUser.Email),

        new Claim("role", "Member")

    };

    await HttpContext.SignInAsync(new ClaimsPrincipal(new ClaimsIdentity(claims, "Cookies", "user", "role")));

    return Json(new { result = 1, msg = "2FA校验成功", url = "/Home/Index" });

}

七.写在最后

以上所有源代码已开源在 https://github.com/yuefengkai/Brook.Totp

如果觉得有用请给我个Start!

作者:Brook(高增智)

ASP.NET Core & 双因素验证2FA 实战经验分享的更多相关文章

  1. 《ASP.NET Core技术内幕与项目实战》精简集-目录

    本系列是杨中科2022年最新作品<ASP.NET Core技术内幕与项目实战>及B站配套视频(强插点赞)的精简集,是一个读书笔记.总结和提炼了主要知识点,遵守代码优先原则,以利于快速复习和 ...

  2. 自动化CodeReview - ASP.NET Core请求参数验证

    自动化CodeReview系列目录 自动化CodeReview - ASP.NET Core依赖注入 自动化CodeReview - ASP.NET Core请求参数验证 参数验证实现 在做服务端开发 ...

  3. 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分

    原文:使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)--第1部分 原文链接:https://www.codeproject.com/Articles/5160941/ASP- ...

  4. 简读《ASP.NET Core技术内幕与项目实战》之3:配置

    特别说明:1.本系列内容主要基于杨中科老师的书籍<ASP.NET Core技术内幕与项目实战>及配套的B站视频视频教程,同时会增加极少部分的小知识点2.本系列教程主要目的是提炼知识点,追求 ...

  5. 快读《ASP.NET Core技术内幕与项目实战》EFCore2.5:集合查询原理揭秘(IQueryable和IEnumerable)

    本节内容,涉及4.6(P116-P130).主要NuGet包:如前述章节 一.LINQ和EFCore的集合查询扩展方法的区别 1.LINQ和EFCore中的集合查询扩展方法,虽然命名和使用完全一样,都 ...

  6. 快读《ASP.NET Core技术内幕与项目实战》WebApi3.1:WebApi最佳实践

    本节内容,涉及到6.1-6.6(P155-182),以WebApi说明为主.主要NuGet包:无 一.创建WebApi的最佳实践,综合了RPC和Restful两种风格的特点 1 //定义Person类 ...

  7. 第9期Unity User Group Beijing图文报道:《Unity实战经验分享》

    时间来到了金秋九月,北京UUG活动也来到了第九期.本次活动的主题为<Unity实战经验分享>,为此我们邀请了3位资深的行业大神.这次我们仍然在北京市海淀区丹棱街5号微软大厦举行活动,在这里 ...

  8. Visual Studio 2015开发Qt项目实战经验分享(附项目示例源码)

    Visual Studio 2015开发Qt项目实战经验分享(附项目示例源码)    转 https://blog.csdn.net/lhl1124281072/article/details/800 ...

  9. ASP.NET Core 使用Cookie验证身份

    ASP.NET Core 1.x提供了通过Cookie 中间件将用户主体序列化为一个加密的Cookie,然后在后续请求中验证Cookie并重新创建主体,并将其分配给HttpContext.User属性 ...

随机推荐

  1. 软件工程 “校园汇” 个人IDEA竞选分析与总结

    IDEA竞选 19/10/8软件工程课上举行了一次IDEA竞选: 我的竞选IDEA是"校友汇",大学生的在线活动中心. 投票结果: 可以看到,校友会(汇)IDEA竞选结果十分惨淡, ...

  2. java 优秀开源项目

    一.https://github.com/zhangdaiscott/jeecg-boot 简介:一款基于代码生成器的JAVA快速开发平台!全新架构前后端分离:SpringBoot 2.x,Ant D ...

  3. Android 系统属性-SystemProperties详解***

    创建与修改android属性用Systemproperties.set(name, value),获取android属性用Systemproperties.get(name),需要注意的是androi ...

  4. 数据库sql优化总结之5--数据库SQL优化大总结

    数据库SQL优化大总结 小编最近几天一直未出新技术点,是因为小编在忙着总结整理数据库的一些优化方案,特此奉上,优化总结较多,建议分段去消化,一口吃不成pang(胖)纸 一.百万级数据库优化方案 1.对 ...

  5. 关于jvm系统属性-Djava.awt.headless 模式

    1. 什么是 java.awt.headless? Headless模式是系统的一种配置模式.在系统可能缺少显示设备.键盘或鼠标这些外设的情况下可以使用该模式. 2. 何时使用和headless mo ...

  6. openresty开发系列37--nginx-lua-redis实现访问频率控制

    openresty开发系列37--nginx-lua-redis实现访问频率控制 一)需求背景 在高并发场景下为了防止某个访问ip访问的频率过高,有时候会需要控制用户的访问频次在openresty中, ...

  7. tqdm学习-一个快速,可扩展的Python和CLI进度条

    参考:https://pypi.org/project/tqdm/ 1.安装: (base) userdeMacBook-Pro:~ user$ conda activate deeplearning ...

  8. PHP命令行参数

    原文地址:http://php.swoole.com/wiki/PHP%E5%91%BD%E4%BB%A4%E8%A1%8C%E5%8F%82%E6%95%B0   PHP命令行参数 目录 [隐藏]  ...

  9. 使用memcpy函数时要注意拷贝数据的长度

    memcpy函数简介 memcpy函数是C/C++语言中的一个用于内存复制的函数,声明在 string.h 中(C++是 cstring).其原型是: void *memcpy(void *desti ...

  10. ObjectARX开发VC版本对照表R14~AutoCAD2020