OTP防重放攻击

OTP本意是一次性口令,比如邮箱验证码,短信验证码,或者根据totp或者hotp生成的默认30秒一变的6位数字。

不过开发者要注意,必须要在验证成功后失效那个验证码,不然就会导致重放攻击。

对于邮箱验证码,服务器可将邮箱和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于手机验证码,服务器要将手机号和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于动态口令,则要采用另外的方式:

先准备一个历史成功json数组,每项是一条json,包含用户id,token,验证时刻+禁止重复的时长

每验证成功一条用户和动态口令,则查数据是否有相同id,相同token并且验证时间还在禁止时间段内,如果查到,则认定为重放攻击,记录日志,验证不通过

如果没有查到,那么如果该用户历史列表为空,则添加json记录,否则更新替换记录的token和验证时刻+禁止重复时长。

注意一般动态口令验证会有一个允许的窗口数,以平衡用户时间和服务器时间的差异,这些前后窗口内的token值在当前验证仍然是可以通过的,所以禁止重复时长至少要覆盖之后的窗口时长。如果token时长是30秒,窗口是2,那么禁止重复时长应该设置为90秒。

如果用户数量大,嫌内存空间占用多,可以考虑每次计算时删除已经过期的条目,或者使用redis,在添加记录时定义失效时间。

javascript 复制代码
...
var loginfaillist=[];
var userotpsucclist=[];
...
	if (tokenValidates) {
		let histmatch=userotpsucclist.find(item=>((item.userid==matchuser.uid.toLowerCase())&&(item.token==obj.token)&&(item.invalid>now)))
		if (histmatch!=undefined) {
			addfail(now,clientip);
			logger.error("涉嫌重放攻击 "+matchuser.uid);
			return res.json({ "msg":"涉嫌重放攻击"});
			}
		histmatch=userotpsucclist.find(item=>(item.userid==matchuser.uid.toLowerCase()))
		if (histmatch==undefined) userotpsucclist.push({"userid":matchuser.uid.toLowerCase(),"token":"obj.token","invalid":now+200000})
		else { histmatch.token=obj.token; histmatch.invalid=now+200000; }
		loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));
		logger.info("认证通过 "+matchuser.username+" "+clientip);
		res.json({"msg":"succ","userid":matchuser.uid.toLowerCase(),"username":matchuser.username});
		}
相关推荐
腾讯TNTWeb前端团队4 小时前
helux v5 发布了,像pinia一样优雅地管理你的react状态吧
前端·javascript·react.js
Asthenia04126 小时前
Spring AOP 和 Aware:在Bean实例化后-调用BeanPostProcessor开始工作!在初始化方法执行之前!
后端
Asthenia04126 小时前
什么是消除直接左递归 - 编译原理解析
后端
Asthenia04127 小时前
什么是自上而下分析 - 编译原理剖析
后端
Asthenia04127 小时前
什么是语法分析 - 编译原理基础
后端
Asthenia04127 小时前
理解词法分析与LEX:编译器的守门人
后端
uhakadotcom7 小时前
视频直播与视频点播:基础知识与应用场景
后端·面试·架构
范文杰7 小时前
AI 时代如何更高效开发前端组件?21st.dev 给了一种答案
前端·ai编程
拉不动的猪7 小时前
刷刷题50(常见的js数据通信与渲染问题)
前端·javascript·面试