用于移动设备的Google Authenticator应用程序是一个非常方便的应用程序，它实现了TOTP算法（在RFC 6238中指定）。 使用Google Authenticator，您可以生成时间密码，该密码可用于在共享请求用户密钥的身份验证服务器中授权用户。

Google Authenticator主要用于通过两因素身份验证访问Google服务。 但是，您可以利用Google Authenticator生成基于时间的密码，以供您的服务器进行认证。 这样的服务器的实现在Java中非常简单，您可以从Google Authenticator PAM模块的源代码中获得启发。 在这篇博客文章中，我们将在Java类中简单介绍一下TOTP算法。

生成密钥

• 为了生成密钥，我们将使用随机数生成器填充所需大小的字节数组。 在这种情况下，我们想要：
• 16个字符的Base32编码密钥：由于x字节的Base32编码生成8x / 5个字符，因此我们将10个字节用作密钥。

一些临时代码（使用Google的行话）。

// Allocating the buffer
byte[] buffer =new byte[secretSize + numOfScratchCodes * scratchCodeSie];// Filling the buffer with random numbers.
// Notice: you want to reuse the same random generator
// while generating larger random number sequences.
new Random().nextBytes(buffer);

现在我们要提取对应于密钥的字节，并使用Base32编码对其进行编码。 我正在使用Apache Common Codec库来获取编解码器实现：

// Getting the key and converting it to Base32
Base32 codec = new Base32();
byte[] secretKey = Arrays.copyOf(buffer, secretSize);
byte[] bEncodedKey = codec.encode(secretKey);
String encodedKey = new String(bEncodedKey);

将密钥加载到Google Authenticator中

您可以手动将密钥加载到Google Authenticator中，或生成QR条码以使应用程序从中加载密钥。 如果要使用Google服务生成QR条码，则可以使用以下代码生成相应的URL：

public static String getQRBarcodeURL(String user,String host,String secret) {String format = "https://www.google.com/chart?chs=200x200&chld=M%%7C0&cht=qr&chl=otpauth://totp/%s@%s%%3Fsecret%%3D%s";return String.format(format, user, host, secret);
}

验证码

现在，我们已经生成了密钥，并且我们的用户可以将其加载到他们的Google Authenticator应用程序中，我们需要验证生成的验证码所需的代码。 这是RFC 6238中指定的算法的Java实现：

private static boolean check_code(String secret,long code,long t)throws NoSuchAlgorithmException,InvalidKeyException {Base32 codec = new Base32();byte[] decodedKey = codec.decode(secret);// Window is used to check codes generated in the near past.// You can use this value to tune how far you're willing to go. int window = 3;for (int i = -window; i <= window; ++i) {long hash = verify_code(decodedKey, t + i);if (hash == code) {return true;}}// The validation code is invalid.return false;
}

private static int verify_code(byte[] key,long t)throws NoSuchAlgorithmException,InvalidKeyException {byte[] data = new byte[8];long value = t;for (int i = 8; i-- > 0; value >>>= 8) {data[i] = (byte) value;}SecretKeySpec signKey = new SecretKeySpec(key, "HmacSHA1");Mac mac = Mac.getInstance("HmacSHA1");mac.init(signKey);byte[] hash = mac.doFinal(data);int offset = hash[20 - 1] & 0xF;// We're using a long because Java hasn't got unsigned int.long truncatedHash = 0;for (int i = 0; i < 4; ++i) {truncatedHash <<= 8;// We are dealing with signed bytes:// we just keep the first byte.truncatedHash |= (hash[offset + i] & 0xFF);}truncatedHash &= 0x7FFFFFFF;truncatedHash %= 1000000;return (int) truncatedHash;
}

结论

现在，您可以使用Google Authenticator应用程序，并使用它为您的用户生成基于时间的密码，并根据您自己的身份验证服务器进行身份验证。

如您所见，所需的代码非常简单，并且所有必需的加密功能均由运行时本身提供。 唯一的麻烦是处理Java中的签名类型。 请享用！

参考： Google身份验证器：在The Gray Blog上与我们的JCG合作伙伴 Enrico Crisostomo一起在您自己的Java身份验证服务器上使用 。

相关文章 ：

• Android Google Maps教程
• Google地图的开放替代品
• Java中的Google ClientLogin实用程序
• JBoss 4.2.x Spring 3 JPA Hibernate教程
• Spring MVC3 Hibernate CRUD示例应用程序
• GWT Spring和Hibernate进入数据网格世界
• GWT 2 Spring 3 JPA 2 Hibernate 3.5教程