OTP防重放攻击

OTP本意是一次性口令,比如邮箱验证码,短信验证码,或者根据totp或者hotp生成的默认30秒一变的6位数字。

不过开发者要注意,必须要在验证成功后失效那个验证码,不然就会导致重放攻击。

对于邮箱验证码,服务器可将邮箱和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于手机验证码,服务器要将手机号和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于动态口令,则要采用另外的方式:

先准备一个历史成功json数组,每项是一条json,包含用户id,token,验证时刻+禁止重复的时长

每验证成功一条用户和动态口令,则查数据是否有相同id,相同token并且验证时间还在禁止时间段内,如果查到,则认定为重放攻击,记录日志,验证不通过

如果没有查到,那么如果该用户历史列表为空,则添加json记录,否则更新替换记录的token和验证时刻+禁止重复时长。

注意一般动态口令验证会有一个允许的窗口数,以平衡用户时间和服务器时间的差异,这些前后窗口内的token值在当前验证仍然是可以通过的,所以禁止重复时长至少要覆盖之后的窗口时长。如果token时长是30秒,窗口是2,那么禁止重复时长应该设置为90秒。

如果用户数量大,嫌内存空间占用多,可以考虑每次计算时删除已经过期的条目,或者使用redis,在添加记录时定义失效时间。

javascript 复制代码
...
var loginfaillist=[];
var userotpsucclist=[];
...
	if (tokenValidates) {
		let histmatch=userotpsucclist.find(item=>((item.userid==matchuser.uid.toLowerCase())&&(item.token==obj.token)&&(item.invalid>now)))
		if (histmatch!=undefined) {
			addfail(now,clientip);
			logger.error("涉嫌重放攻击 "+matchuser.uid);
			return res.json({ "msg":"涉嫌重放攻击"});
			}
		histmatch=userotpsucclist.find(item=>(item.userid==matchuser.uid.toLowerCase()))
		if (histmatch==undefined) userotpsucclist.push({"userid":matchuser.uid.toLowerCase(),"token":"obj.token","invalid":now+200000})
		else { histmatch.token=obj.token; histmatch.invalid=now+200000; }
		loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));
		logger.info("认证通过 "+matchuser.username+" "+clientip);
		res.json({"msg":"succ","userid":matchuser.uid.toLowerCase(),"username":matchuser.username});
		}
相关推荐
YHHLAI2 小时前
Agent 智能体开发实战 · 第六课:MCP 协议 —— 让 Agent 跨进程调用工具
前端·人工智能
SmartBoyW2 小时前
前端死磕:一文彻底搞懂 JS 事件循环 (Event Loop) 与宏微任务
前端·javascript
小小猪的春天2 小时前
AI 编程 30 天实验复盘:效率提升 65%,线上 bug 涨到 11 个,问题出在哪
后端
爱勇宝2 小时前
3位工程师靠“删AI代码”创业,一周收费1万美元:以后最贵的能力,可能不是写代码
前端·后端·架构
Curvatureflight2 小时前
客户端日志上报怎么设计?让线上问题不再只靠用户截图
前端·系统架构
不法3 小时前
uniapp map地图导航/地图路线
前端·vue.js·uni-app
星栈3 小时前
LiveView 页面越写越卡,我最后抓到的凶手不是数据库,是我自己乱塞 `assigns`
前端·前端框架·elixir
不能放弃治疗3 小时前
rule 和 skill
后端
ADIT3 小时前
一、反射的定义与原理
后端