为您的Web应用程序启用两因素身份验证

支持两因素身份验证（2FA）几乎总是一个好主意，尤其是对于后台系统。 2FA有许多不同的形式，其中一些包括SMS，TOTP甚至是硬件令牌。

启用它们需要类似的流程：

用户转到其个人资料页面（如果要在注册时强制使用2fa，请跳过此页面）
单击“启用两因素身份验证”
输入一些数据以启用特定的2FA方法（电话号码，TOTP验证码等）
下次他们登录时，除了用户名和密码外，登录表单还会请求第二个因素（验证码）并将其与凭据一起发送

我将重点介绍Google Authenticator，它使用TOTP（基于时间的一次性密码）生成一系列验证码。想法是服务器和客户端应用程序共享一个密钥。基于该键和当前时间，两者都使用相同的代码。当然，时钟不能完全同步，因此服务器会接受一些窗口作为有效代码。请注意，如果您不信任Google的应用程序，则可以使用以下相同的库来实现自己的客户端应用程序（尽管您可以查看源代码以确保没有恶作剧发生）。

如何用Java（在服务器上）实现呢？使用GoogleAuth库。流程如下：

用户转到其个人资料页面
单击“启用两因素身份验证”
服务器生成一个秘密密钥，将其存储为用户配置文件的一部分，然后将URL返回到QR码
用户使用其Google Authenticator应用程序扫描QR码，从而在该应用程序中创建新的个人资料
用户在与QR码一起显示的字段中输入应用程序显示的验证码，然后点击“确认”
服务器在用户配置文件中将2FA标记为已启用
（可选）您可以为用户提供一些“便笺代码”，以防他们丢失应用程序或机密信息时可以写下来。
如果用户不扫描代码或不验证过程，则用户个人资料将仅包含孤立的秘密密钥，但不会被标记为已启用
应该有一个选项，以后可以从其用户个人资料页面禁用2FA

从理论的角度来看，最重要的一点是共享密钥。密码是对称的，因此双方（身份验证器应用程序和服务器）具有相同的密钥。它是通过用户扫描的QR码共享的。如果此时攻击者可以控制用户的计算机，则机密可能会泄露，从而2FA也会被攻击者滥用。但这不在威胁模型中，换句话说，如果攻击者可以访问用户的计算机，则无论如何都已经造成了损害。

注意：您可能会看到此过程称为2步身份验证或2因子。 “因素”是：“您知道的东西”，“您拥有的东西”和“您自己的东西”。您可以将TOTP视为“您知道”的另一件事，但是您也可以将带有安全存储的密钥的电话视为“您拥有的”东西。在这种特殊情况下，我不坚持使用任何一种术语。

登录后，流程如下：

用户输入用户名和密码，然后单击“登录”
使用AJAX请求，页面询问服务器此电子邮件是否已启用2FA
如果未启用2FA，只需提交用户名和密码表格
如果启用了2FA，则不会提交登录表单，而是显示一个附加字段，以允许用户从身份验证器应用程序中输入验证码
用户输入代码并按登录后，即可提交表单。使用相同的登录按钮，或使用新的“验证”按钮，或使用验证输入+按钮可能是全新的屏幕（隐藏用户名/密码输入）。
然后，服务器再次检查用户是否启用了2FA，如果是，则验证验证码。如果匹配，则登录成功。如果不是，则登录失败，并且允许用户重新输入凭据和验证码。请注意，根据用户名/密码错误或代码错误，您可能会有不同的响应。您甚至可以在尝试显示验证码输入之前尝试登录。这种方法可以说是更好的方法，因为这样您就不会向潜在的攻击者透露用户使用2FA。

我说的是用户名和密码，这可以应用于任何其他身份验证方法。从OAuth / OpenID Connect / SAML提供程序获得成功确认之后，或者从SecureLogin获得令牌之后，您可以请求第二个因素（代码）。

在代码中，上述过程如下所示（使用Spring MVC；为简便起见，我将控制器和服务层合并。您可以使用将当前登录的用户详细信息提供给控制器的方式替换@AuthenticatedPrincipal位）。假设方法在控制器中映射到“ / user /”：

@RequestMapping(value = "/init2fa", method = RequestMethod.POST)
@ResponseBody
public String initTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token) {User user = getLoggedInUser(token);GoogleAuthenticatorKey googleAuthenticatorKey = googleAuthenticator.createCredentials();user.setTwoFactorAuthKey(googleAuthenticatorKey.getKey());dao.update(user);return GoogleAuthenticatorQRGenerator.getOtpAuthURL(GOOGLE_AUTH_ISSUER, email, googleAuthenticatorKey);
}@RequestMapping(value = "/confirm2fa", method = RequestMethod.POST)
@ResponseBody
public boolean confirmTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token, @RequestParam("code") int code) {User user = getLoggedInUser(token);boolean result = googleAuthenticator.authorize(user.getTwoFactorAuthKey(), code);user.setTwoFactorAuthEnabled(result);dao.update(user);return result;
}@RequestMapping(value = "/disable2fa", method = RequestMethod.GET)
@ResponseBody
public void disableTwoFactorAuth(@AuthenticationPrincipal LoginAuthenticationToken token) {User user = getLoggedInUser(token);user.setTwoFactorAuthKey(null);user.setTwoFactorAuthEnabled(false);dao.update(user);
}@RequestMapping(value = "/requires2fa", method = RequestMethod.POST)
@ResponseBody
public boolean login(@RequestParam("email") String email) {// TODO consider verifying the password here in order not to reveal that a given user uses 2FAreturn userService.getUserDetailsByEmail(email).isTwoFactorAuthEnabled();
}

QR码生成使用Google的服务，从技术上讲，它也为Google提供了秘密密钥。我怀疑它们除了生成QR码外还会存储它，但是，如果您不信任它们，则可以实现自己的QR码生成器，那么自己生成QR码应该不难。

在客户端，它是对上述方法的简单AJAX请求（旁注：我觉得AJAX一词不再流行，但我不知道如何称呼它们。异步，背景或Javascript）。

$("#two-fa-init").click(function() {$.post("/user/init2fa", function(qrImage) {$("#two-fa-verification").show();$("#two-fa-qr").prepend($('<img>',{id:'qr',src:qrImage}));$("#two-fa-init").hide();});
});$("#two-fa-confirm").click(function() {var verificationCode = $("#verificationCode").val().replace(/ /g,'')$.post("/user/confirm2fa?code=" + verificationCode, function() {$("#two-fa-verification").hide();$("#two-fa-qr").hide();$.notify("Successfully enabled two-factor authentication", "success");$("#two-fa-message").html("Successfully enabled");});
});$("#two-fa-disable").click(function() {$.post("/user/disable2fa", function(qrImage) {window.location.reload();});
});

登录表单代码在很大程度上取决于您正在使用的现有登录表单，但是重点是使用电子邮件（和密码）调用/ requires2fa以检查是否启用了2FA，然后显示验证码输入。

总体而言，两因素身份验证的实现很简单，我建议将其用于大多数系统，在这些系统中，安全性比用户体验的简单性更为重要。