TOTP双因素认证(2FA)php简单实现

为天空着色2024-12-28 17:29

TOTP身份验证的工作原理基于时间戳和密钥。用户需要在设置阶段将密钥与相应的身份验证器进行绑定。通常,用户会在需要使用TOTP动态验证码的APP或网站上获得一个密钥,然后将该密钥添加到TOTP验证器工具上。验证器会根据当前的时间戳和密钥生成一个一次性密码(通常是6位数字),用户需要将这个密码输入到需要验证的系统中以完成身份验证。

1、针对某个登录用户生成秘钥

php 复制代码 
<?php
//生成32位的秘钥
function generateSecret($length = 32) {
    $characters = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ234567'; // Base32 字符集
    $secret = '';
    for ($i = 0; $i < $length; $i++) {
        $secret .= $characters[random_int(0, strlen($characters) - 1)];
    }
    return $secret;
}

$secret = generateSecret(); // 用户的唯一 Secret
echo "Secret Key: $secret";

2、生成某个登录用户需要绑定到Authenticator的链接(二维码形式显示)

php 复制代码 
<?php
function generateQRCodeUrl($appName, $userEmail, $secret) {
    $issuer = urlencode($appName);
    $email = urlencode($userEmail);
    return "otpauth://totp/{$issuer}:{$email}?secret={$secret}&issuer={$issuer}";
}

$appName = "xxx-test";//在app列表中显示的名称
$userEmail = "xxx.xxx@gmail.com";
$secret='4IRT6WN2RHWZHJ4ZOO2POMYB6W43FQ7G';
$qrCodeUrl = generateQRCodeUrl($appName, $userEmail, $secret);
echo $qrCodeUrl;//当前链接生成为二维码的链接
//echo '<img src="' . $qrCodeUrl . '" alt="QR Code">';

3、登录的时候验证用户输入的code是否正确

php 复制代码 
<?php
/**
 * 生成动态验证码(验证用)
 */
function getOtp($secret, $timeSlice = null) {
    if ($timeSlice === null) {
        $timeSlice = floor(time() / 30); // 当前时间戳除以30秒
    }

    $secretKey = base32Decode($secret); // 解码 Base32 密钥
    $time = pack('N*', 0) . pack('N*', $timeSlice); // 将时间戳转换为 64 位二进制

    // 使用 HMAC-SHA1 计算哈希值
    $hmac = hash_hmac('sha1', $time, $secretKey, true);

    // 截取动态偏移量
    $offset = ord(substr($hmac, -1)) & 0x0F;
    $binary = (ord($hmac[$offset]) & 0x7F) << 24 |
        (ord($hmac[$offset + 1]) & 0xFF) << 16 |
        (ord($hmac[$offset + 2]) & 0xFF) << 8 |
        (ord($hmac[$offset + 3]) & 0xFF);

    // 生成6位数字验证码
    return str_pad($binary % pow(10, 6), 6, '0', STR_PAD_LEFT);
}

function base32Decode($base32) {
    $characters = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ234567';
    $base32 = strtoupper($base32);
    $bits = '';
    foreach (str_split($base32) as $char) {
        $bits .= str_pad(decbin(strpos($characters, $char)), 5, '0', STR_PAD_LEFT);
    }
    $bytes = '';
    foreach (str_split($bits, 8) as $byte) {
        $bytes .= chr(bindec($byte));
    }
    return $bytes;
}

// $otp = getOtp($secret);
// echo "Generated OTP: $otp".PHP_EOL;
//验证方法
function verifyOtp($secret, $userInput, $window = 1) {
    $timeSlice = floor(time() / 30);//TOTP 的核心是基于当前时间的30秒时间片。一个时间片的公式是
    for ($i = -$window; $i <= $window; $i++) {
        echo "OTP: " . getOtp($secret, $timeSlice + $i) . PHP_EOL;
        echo "$i:$window".PHP_EOL;
        if (getOtp($secret, $timeSlice + $i) === $userInput) {
            return true;
        }
    }
    return false;
}
//index.php 生成的secret
$secret='4IRT6WN2RHWZHJ4ZOO2POMYB6W43FQ7G';
$userInput = '927055'; // 用户输入的动态验证码
if (verifyOtp($secret, $userInput)) {
    echo "验证通过!";
} else {
    echo "验证码错误,请重试。";
}
相关推荐
t198751282 小时前
使用深度神经网络解决无线网络资源分配问题的MATLAB实现
matlab·php·dnn
m0_459252463 小时前
fastadmin动态渲染统计信息
开发语言·前端·javascript·php
AI成长日志3 小时前
【实用工具教程】Linux常用命令速查与实战场景:文件操作、进程管理与网络调试高频命令解析
linux·php
ccchen8884 小时前
适配帝国CMS 8.0:全新帝国CMS免登录采集发布插件
经验分享·爬虫·php·帝国cms自动采集发布插件·帝国cms8.0·帝国cms自动采集插件·帝国cms采集发布模块
山川绿水5 小时前
bugku——MISC——键盘
安全·网络安全·系统安全·密码学
vx-程序开发6 小时前
springboot在线装修管理系统-计算机毕业设计源码56278
java·c语言·spring boot·python·spring·django·php
幽络源小助理6 小时前
网页软件库源码(带1153条资源)-含详细搭建教程
php
博语小屋8 小时前
多路转接select、poll
开发语言·网络·c++·php
xuansec8 小时前
PHP 反序列化漏洞学习笔记(CTF向总结)
笔记·学习·php
liuxin_07259 小时前
Composer 安装
php·composer
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)04OpenClaw 使用和管理 MCP 完全指南05Labelme从安装到标注:零基础完整指南06班级宠物园部署指南07UV安装并设置国内源08AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南09OpenClaw Control UI安全上下文访问配置10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)