随着 Web 应用程序的普及,两步验证(2FA)成为越来越重要的安全机制。对于 Web 开发人员,常常需要使用一些库来帮助实现 2FA。其中,easy-otp 是一个方便易用的 npm 包,能够快速生成和验证 TOTP 和 HOTP。
安装
安装 easy-otp 是非常简单的。使用 npm 或 yarn 执行以下命令:
npm install easy-otp
或者
yarn add easy-otp
使用方法
easy-otp 提供了两种算法: TOTP 和 HOTP。TOTP(Time-Based One-Time Password,基于时间的一次性密码)是最常用的算法,而HOTP(HMAC-based One-Time Password,基于哈希的一次性密码)提供了更高的自定义性和安全性。
TOTP
TOTP 会根据当前时间来生成一个一次性密码,以确保密码只在特定时间段内有效。TOTP 还需要一个键,也称为“秘钥”,用于生成验证码。下面是一个示例:
import OTP from 'easy-otp';
const otp = new OTP('KZNKEZXXSO2JFBRFO45TUHJOMOJOSKZGSQYYYYXAZJFIRKYXTULZHHOMI45DONK6MFTU6EPLU6LJOHE'); //生成秘钥
otp.generateTotp().then((code) => {
console.log('Your one time password:', code); // 您的一次性密码
});这里需要传入一个秘钥,即我们的密钥,可以将秘钥保存在环境变量中,以便我们更好地保护我们的密钥,防止他人访问。
HOTP
HOTP 与 TOTP 相比具有更高的自定义性和安全性。 我们需要一个计数器,每次使用时都会增加一个数值,以产生一个新的密码。 在 HOTP 中,我们需要提供一个计数器的起始值,下面是一个示例:
import OTP from 'easy-otp';
const otp = new OTP('KZNKEZXXSO2JFBRFO45TUHJOMOJOSKZGSQYYYYXAZJFIRKYXTULZHHOMI45DONK6MFTU6EPLU6LJOHE'); //生成秘钥
otp.generateHotp(1).then(code => {
console.log('Your one time password', code); // 您的一次性密码
});在这里,我们需要传入一个值作为计数器的起始值。每次使用时计数器都会自增1。
验证码验证
一旦生成了 OTP,我们需要验证。使用验证函数verify 我们可以轻松地验证验证码的有效性。以下是一个演示如何验证验证码的示例:
-- -------------------- ---- ------- ------ --- ---- ----------- ----- --- - --- --------------------------------------------------------------------------------------- ------ ----- ------- - ------------------- ---------- -- -------------------- ---- --------------------------------- -- --------- - ------------------ ------- - ---- - -------------------- ------- -
在这里,第一个参数是可选的。如果不传,则会使用默认值“0”。第二个参数即是我们需要验证的生成的验证码。
总结
在本文中,我们已经学习了 easy-otp,一个简单易用的 npm 包。我们已经学习了如何生成和验证 TOTP 和 HOTP,并了解了如何设置秘钥和计数器。通过这个库,开发人员可以方便地实现 2FA,极大地提高了 Web 应用程序的安全性。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/60055c2181e8991b448d9bec