OTP防重放攻击

OTP本意是一次性口令,比如邮箱验证码,短信验证码,或者根据totp或者hotp生成的默认30秒一变的6位数字。

不过开发者要注意,必须要在验证成功后失效那个验证码,不然就会导致重放攻击。

对于邮箱验证码,服务器可将邮箱和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于手机验证码,服务器要将手机号和验证码存入json数组中或redis中,验证时查找匹配,成功则删除该项,一般还应配置失效时间。

对于动态口令,则要采用另外的方式:

先准备一个历史成功json数组,每项是一条json,包含用户id,token,验证时刻+禁止重复的时长

每验证成功一条用户和动态口令,则查数据是否有相同id,相同token并且验证时间还在禁止时间段内,如果查到,则认定为重放攻击,记录日志,验证不通过

如果没有查到,那么如果该用户历史列表为空,则添加json记录,否则更新替换记录的token和验证时刻+禁止重复时长。

注意一般动态口令验证会有一个允许的窗口数,以平衡用户时间和服务器时间的差异,这些前后窗口内的token值在当前验证仍然是可以通过的,所以禁止重复时长至少要覆盖之后的窗口时长。如果token时长是30秒,窗口是2,那么禁止重复时长应该设置为90秒。

如果用户数量大,嫌内存空间占用多,可以考虑每次计算时删除已经过期的条目,或者使用redis,在添加记录时定义失效时间。

javascript 复制代码
...
var loginfaillist=[];
var userotpsucclist=[];
...
	if (tokenValidates) {
		let histmatch=userotpsucclist.find(item=>((item.userid==matchuser.uid.toLowerCase())&&(item.token==obj.token)&&(item.invalid>now)))
		if (histmatch!=undefined) {
			addfail(now,clientip);
			logger.error("涉嫌重放攻击 "+matchuser.uid);
			return res.json({ "msg":"涉嫌重放攻击"});
			}
		histmatch=userotpsucclist.find(item=>(item.userid==matchuser.uid.toLowerCase()))
		if (histmatch==undefined) userotpsucclist.push({"userid":matchuser.uid.toLowerCase(),"token":"obj.token","invalid":now+200000})
		else { histmatch.token=obj.token; histmatch.invalid=now+200000; }
		loginfaillist=loginfaillist.filter(itm=>(itm.ip!=req.ip));
		logger.info("认证通过 "+matchuser.username+" "+clientip);
		res.json({"msg":"succ","userid":matchuser.uid.toLowerCase(),"username":matchuser.username});
		}
相关推荐
Penk是个码农几秒前
web前端面试-- MVC、MVP、MVVM 架构模式对比
前端·面试·mvc
Fortinet_CHINA3 分钟前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
MrSkye4 分钟前
🔥JavaScript 入门必知:代码如何运行、变量提升与 let/const🔥
前端·javascript·面试
白瓷梅子汤8 分钟前
跟着官方示例学习 @tanStack-form --- Linked Fields
前端·react.js
爱学习的茄子12 分钟前
深入理解JavaScript闭包:从入门到精通的实战指南
前端·javascript·面试
前端付豪19 分钟前
17、自动化才是正义:用 Python 接管你的日常琐事
后端·python
我是一只代码狗23 分钟前
springboot中使用线程池
java·spring boot·后端
PanZonghui39 分钟前
Centos项目部署之安装数据库MySQL8
linux·后端·mysql
Victor35642 分钟前
MySQL(119)如何加密存储敏感数据?
后端
zhanshuo43 分钟前
不依赖框架,如何用 JS 实现一个完整的前端路由系统
前端·javascript·html