超简单实现php谷歌验证

前几天才得知有google身份验证器这种好玩的东西,这是一个类似QQ令牌的离线验证码,不需要联网。只需要时区同步和SecretKey一致即可计算出离线验证码,简单方便安全便捷,感兴趣的朋友可以试试。

1、首先保存以下源码为GoogleAuthenticator.php文件

<?php/** * PHP Class for handling Google Authenticator 2-factor authentication. * * @author Michael Kliewe * @copyright 2012 Michael Kliewe * @license http://www.opensource.org/licenses/bsd-license.php BSD License * * @link http://www.phpgangsta.de/ */class PHPGangsta_GoogleAuthenticator{
    protected $_codeLength = 6;

    /**     * Create new secret.     * 16 characters, randomly chosen from the allowed base32 characters.     *     * @param int $secretLength     *     * @return string     */
    public function createSecret($secretLength = 16)
    {
        $validChars = $this->_getBase32LookupTable();

        // Valid secret lengths are 80 to 640 bits
        if ($secretLength < 16 || $secretLength > 128) {
            throw new Exception('Bad secret length');
        }
        $secret = '';
        $rnd = false;
        if (function_exists('random_bytes')) {
            $rnd = random_bytes($secretLength);
        } elseif (function_exists('mcrypt_create_iv')) {
            $rnd = mcrypt_create_iv($secretLength, MCRYPT_DEV_URANDOM);
        } elseif (function_exists('openssl_random_pseudo_bytes')) {
            $rnd = openssl_random_pseudo_bytes($secretLength, $cryptoStrong);
            if (!$cryptoStrong) {
                $rnd = false;
            }
        }
        if ($rnd !== false) {
            for ($i = 0; $i < $secretLength; ++$i) {
                $secret .= $validChars[ord($rnd[$i]) & 31];
            }
        } else {
            throw new Exception('No source of secure random');
        }

        return $secret;
    }

    /**     * Calculate the code, with given secret and point in time.     *     * @param string   $secret     * @param int|null $timeSlice     *     * @return string     */
    public function getCode($secret, $timeSlice = null)
    {
        if ($timeSlice === null) {
            $timeSlice = floor(time() / 30);
        }

        $secretkey = $this->_base32Decode($secret);

        // Pack time into binary string
        $time = chr(0).chr(0).chr(0).chr(0).pack('N*', $timeSlice);
        // Hash it with users secret key
        $hm = hash_hmac('SHA1', $time, $secretkey, true);
        // Use last nipple of result as index/offset
        $offset = ord(substr($hm, -1)) & 0x0F;
        // grab 4 bytes of the result
        $hashpart = substr($hm, $offset, 4);

        // Unpak binary value
        $value = unpack('N', $hashpart);
        $value = $value[1];
        // Only 32 bits
        $value = $value & 0x7FFFFFFF;

        $modulo = pow(10, $this->_codeLength);

        return str_pad($value % $modulo, $this->_codeLength, '0', STR_PAD_LEFT);
    }

    /**     * Get QR-Code URL for image, from google charts.     *     * @param string $name     * @param string $secret     * @param string $title     * @param array  $params     *     * @return string     */
    public function getQRCodeGoogleUrl($name, $secret, $title = null, $params = array())
    {
        $width = !empty($params['width']) && (int) $params['width'] > 0 ? (int) $params['width'] : 200;
        $height = !empty($params['height']) && (int) $params['height'] > 0 ? (int) $params['height'] : 200;
        $level = !empty($params['level']) && array_search($params['level'], array('L', 'M', 'Q', 'H')) !== false ? $params['level'] : 'M';

        $urlencoded = urlencode('otpauth://totp/'.$name.'?secret='.$secret.'');
        if (isset($title)) {
            $urlencoded .= urlencode('&issuer='.urlencode($title));
        }

        return 'https://chart.googleapis.com/chart?chs='.$width.'x'.$height.'&chld='.$level.'|0&cht=qr&chl='.$urlencoded.'';
    }

    /**     * Check if the code is correct. This will accept codes starting from $discrepancy*30sec ago to $discrepancy*30sec from now.     *     * @param string   $secret     * @param string   $code     * @param int      $discrepancy      This is the allowed time drift in 30 second units (8 means 4 minutes before or after)     * @param int|null $currentTimeSlice time slice if we want use other that time()     *     * @return bool     */
    public function verifyCode($secret, $code, $discrepancy = 1, $currentTimeSlice = null)
    {
        if ($currentTimeSlice === null) {
            $currentTimeSlice = floor(time() / 30);
        }

        if (strlen($code) != 6) {
            return false;
        }

        for ($i = -$discrepancy; $i <= $discrepancy; ++$i) {
            $calculatedCode = $this->getCode($secret, $currentTimeSlice + $i);
            if ($this->timingSafeEquals($calculatedCode, $code)) {
                return true;
            }
        }

        return false;
    }

    /**     * Set the code length, should be >=6.     *     * @param int $length     *     * @return PHPGangsta_GoogleAuthenticator     */
    public function setCodeLength($length)
    {
        $this->_codeLength = $length;

        return $this;
    }

    /**     * Helper class to decode base32.     *     * @param $secret     *     * @return bool|string     */
    protected function _base32Decode($secret)
    {
        if (empty($secret)) {
            return '';
        }

        $base32chars = $this->_getBase32LookupTable();
        $base32charsFlipped = array_flip($base32chars);

        $paddingCharCount = substr_count($secret, $base32chars[32]);
        $allowedValues = array(6, 4, 3, 1, 0);
        if (!in_array($paddingCharCount, $allowedValues)) {
            return false;
        }
        for ($i = 0; $i < 4; ++$i) {
            if ($paddingCharCount == $allowedValues[$i] &&
                substr($secret, -($allowedValues[$i])) != str_repeat($base32chars[32], $allowedValues[$i])) {
                return false;
            }
        }
        $secret = str_replace('=', '', $secret);
        $secret = str_split($secret);
        $binaryString = '';
        for ($i = 0; $i < count($secret); $i = $i + 8) {
            $x = '';
            if (!in_array($secret[$i], $base32chars)) {
                return false;
            }
            for ($j = 0; $j < 8; ++$j) {
                $x .= str_pad(base_convert(@$base32charsFlipped[@$secret[$i + $j]], 10, 2), 5, '0', STR_PAD_LEFT);
            }
            $eightBits = str_split($x, 8);
            for ($z = 0; $z < count($eightBits); ++$z) {
                $binaryString .= (($y = chr(base_convert($eightBits[$z], 2, 10))) || ord($y) == 48) ? $y : '';
            }
        }

        return $binaryString;
    }

    /**     * Get array with all 32 characters for decoding from/encoding to base32.     *     * @return array     */
    protected function _getBase32LookupTable()
    {
        return array(
            'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', //  7
            'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', // 15
            'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', // 23
            'Y', 'Z', '2', '3', '4', '5', '6', '7', // 31
            '=',  // padding char
        );
    }

    /**     * A timing safe equals comparison     * more info here: http://blog.ircmaxell.com/2014/11/its-all-about-time.html.     *     * @param string $safeString The internal (safe) value to be checked     * @param string $userString The user submitted (unsafe) value     *     * @return bool True if the two strings are identical     */
    private function timingSafeEquals($safeString, $userString)
    {
        if (function_exists('hash_equals')) {
            return hash_equals($safeString, $userString);
        }
        $safeLen = strlen($safeString);
        $userLen = strlen($userString);

        if ($userLen != $safeLen) {
            return false;
        }

        $result = 0;

        for ($i = 0; $i < $userLen; ++$i) {
            $result |= (ord($safeString[$i]) ^ ord($userString[$i]));
        }

        // They are only identical strings if $result is exactly 0...
        return $result === 0;
    }}

2、保存以下代码为logo.php

<?php if(!empty($_POST['user'])&&!empty($_POST['pass'])&&!empty($_POST['Verification'])){
	require_once './GoogleAuthenticator.php';

	$ga = new PHPGangsta_GoogleAuthenticator();

	//"安全密匙SecretKey" 入库,和账户关系绑定,客户端也是绑定这同一个"安全密匙SecretKey"
	$secret = 'QLE4O7GHUJLT63ARS';

	$oneCode = $_POST['Verification'];
	$checkResult = $ga->verifyCode($secret, $oneCode, 2);
	if($checkResult){
		$user = $_POST['user'];
		$pass = $_POST['pass'];
		if($user=='admin'&&$pass=='admin000'){
			exit('登录成功');
		}else{
			exit('密码错误');
		}
	}else{
		exit('验证码错误');
	}}?><!DOCTYPE html><html><head>
	<title>登录</title></head><body>
	<div>
		<form action="login.php" method="post">
			<p>账号:<input type="text" name="user" placeholder="账号"></p>
			<p>密码:<input type="pass" name="pass"></p>
			<p>验证码:<input type="number" name="Verification"></p>
			<input type="submit" value="提交">
		</form>
	</div></body></html>

此时安装Google身份验证器到手机上(安卓版可以去网上下载,苹果可以在商城应用商城搜到),然后绑定SecretKey即可使用。

当然多用户也可以使用该功能,只需要给每个用户绑定一个SecretKey即可。

如果需要生成二维码可以使用以下代码生成

$qrCodeUrl = $ga->getQRCodeGoogleUrl('localhost', $secret); //第一个参数是"标识",第二个参数为"安全密匙SecretKey" 生成二维码信息echo '<img src="'.$qrCodeUrl.'">';

教程到此结束。

图片预览

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

来自云端的木马:“百家”木马集团分析

0×00背景 近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能...

2047
来自专栏Golang语言社区

Go语言·Web调优详解

Go1.8将要来了,这种格局即将被打破了! 我们最近尝试性的将Go1.8编译的服务暴漏到了外网,结果发现crypto/tls 和net/http都得到了极大的提...

3699
来自专栏贺嘉的专栏

还有 13 天,苹果就要关上 HTTP 大门了

2017年1月1日以后,所有iOS需要访问网页的 App 都要面临一个问题:ATS(App Transport Security)。由于 ATS 要求 HTTP...

8.3K2
来自专栏源码之家

使用神器快速破解Zend及ionCube加密的php文件

1.5K4
来自专栏lestat's blog

使用cloudflare加持你的网站

简单地说,CloudFlare就是通过基于反向代理的内容分发网络(Content Delivery Network,CDN)及分布式域名解析服务(Distrib...

4302
来自专栏FreeBuf

iOS 10 iMessage字符崩溃Bug又来了

近日,黑客@vincedes3发现了一个从iOS 8 到 iOS 10.2.1 b2通用的iMessage字符崩溃Bug,该Bug同样利用了和当年iOS 8的i...

2245
来自专栏日暮星辰

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站...

1474
来自专栏前端黑板报

软件工程师需要了解的网络知识:从铜线到HTTP(五)—— HTTP 和 HTTPS

JohnLui:程序员,Swift Contributor,正在写《iOS 可视化编程与 Auto Layout》 HTTP 在以前的文章中,我大力推荐过《图解...

3617
来自专栏java一日一条

30分钟让网站支持HTTPS

我不是安全专家也不是搞服务器的,所以这对我而言也是一种有趣的经历,而记录这个过程可以让其他任何人也能很快地做到这些。包括一些暂时的停顿时间,我总共只花了20-3...

1694
来自专栏PHP在线

关于HTTPS的七个误解

本文详细讨论了关于HTTPS的七个误解,误解内容包括HTTPS无法缓存、SSL证书很贵、HTTPS太慢等等,以下是原文,希望你可以更透彻地了解HTTPS。 来源...

3217

扫码关注云+社区