代码之家  ›  专栏  ›  技术社区  ›  Peter

通过Google Authenticator为TOTP使用TotpSecurityStampBasedTokenProvider

totp asp.net-identity c#
  •  1
  • Peter  · 技术社区  · 7 年前

    实现使用 TotpSecurityStampBasedTokenProvider 由Microsoft.AspNet.Identity framework提供。

    当查看Google Authenticator要求时,它列出了机密需要是base32编码的字符串。

    如果查看TotpSecurityStampBasedTokenProvider中的代码,它将用户的SecurityStamp用作身份框架生成的机密。这是GUID,不是base32编码的字符串。

    根据产品的规格 Google Authenticator 有一个要求,秘密是一个base32编码字符串。

    2 回复  |  直到 7 年前
        1
  •  2
  •   Patrick Hofman Wahid Bitar    7 年前

    这个 TotpSecurityStampBasedTokenProvider 使用 UserManager.CreateSecurityTokenAsync 生成用于计算令牌的密码。

    代码依赖于用户ID,并生成一个字节数组,通常在TOTP设置阶段以base-32或QR代码的形式在屏幕上显示给用户。

    长话短说,没什么好担心的。

        2
  •  1
  •   Peter    7 年前

    问题是 TotpSecurityStampBasedTokenProvider 提供人 Microsoft.AspNet.Identity.Core 实现的硬编码时间步 3分钟 . Google Authenticator使用默认值 ,其中 不能修改 provided .

    这会导致两个TOTP计算生成不同的代码,从而导致始终错误的身份验证。

    我已经把一张票加到票上了 github repository of aspnet.identity 关于这个。

    推荐文章
    SpaceCowboy74 Mohammad Aghazadeh  ·  使用Fluent Validation比较数组中的值
    1 年前
    Rico Strydom  ·  Linq to XML:如何基于文件中的其他元素获取元素
    1 年前
    A B  ·  C#Excel自动调整列避免长文本时出错
    1 年前
    Megrez7  ·  C#ToArray转换合并为一行,导致数组元素更改
    1 年前
    Alireza Noori  ·  全局配置用于本地化的MudDontext验证消息?
    1 年前
    Aycon  ·  在工厂方法中释放部分创建的对象的正确方法是什么?
    1 年前
    Martyn C  ·  自定义StringEnumConverter未拾取所有枚举
    1 年前
    Duck0  ·  这个对象在更高的帧率下会更快吗,因为它在Update()中?
    1 年前
    Nwerx_user  ·  在C#中,如何在不使用static关键字的情况下使用类外的方法?
    1 年前
    Sei  ·  Avalonia/WPF将路由器传递到控制模板
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号