为何要使用谷歌身份验证器
普通的网站只使用账号、密码、图形验证码进行后台登录。根据我(作为站长)多年的经验来看,这种方式安全性很低,尤其是使用 http 协议,明文的帐号和密码相当于在网络上裸奔。如果使用 https 方式,被撞库攻击的概率也比较大:比如在多个数字货币交易所,使用了相同的密码。
稍微安全点的方式,是每次登录时都使用 短信验证码 或 邮箱验证码 进行验证,这样后台的安全性提高了一个等级,但短信的花费较高,免费邮箱的实时性和可达性都不可靠。
因此,谷歌身份验证器可以作为一个更好的选择。谷歌身份验证器实现原理类似于 QQ 令牌,不依赖于网络,30秒更新一次。现在几乎所有的数字货币交易所,都支持谷歌身份验证器,由此可见他的重要性以及安全性。
谷歌身份验证器 实现原理
这里不做学术上的研究。
用户注册时,给用户生成一个密钥。前台给用户显示该密钥。后台将该密钥与用户绑定。用户下载 谷歌身份验证器 app,将 密钥 添加到 app 里,即可查看实时密码。用户登录网站时,打开 app 查看密码,并输入登陆。后台接收到用户输入的密码,同时取出用户的密钥,进行谷歌身份验证。如果验证成功,则登录成功。执行流程
pom.xml导入依赖,或自己下载在自己的网站上加入 谷歌身份验证器(以 java 为例)
