- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我必须向 URL http://example.com/test 发出 HTTP POST 请求其中包含作为正文部分的 JSON 字符串、标题“Content-Type:application/json”和“Authorization: Basic userid:password”。用户 ID 是 abc@example.com,密码必须是 10 位基于时间的一次性密码,符合 RFC6238 TOTP,使用 HMAC-SHA-512 作为哈希函数。
token 共享 key 应为“abc@example.comTEXT5”,不带双引号。
所以,为了实现上述,我修改了 RFC6238 RC6238 TOTP Algo 的 Java 代码
为了获得 TOTP,我使用 online converter tool 将共享 key “abc@example.comTEXT5”转换为 HMAC-SHA512以及一些生成相同的 128 个字符长度的 HEX 代码的代码
发出请求时总是响应“TOTP 错误”。
我注意到我生成了错误的 key ,所以 TOTP 错误。那么,如何生成符合 HMAC-SHA512 和 RFC6238 算法的 Java 代码的正确 key 呢?
算法中有默认 key 作为种子:
String seed64 = "3132333435363738393031323334353637383930" +
"3132333435363738393031323334353637383930" +
"3132333435363738393031323334353637383930" +
"31323334";
如何为我的共享 key “abc@example.comTEXT5”获取这样的种子 64?我修改后的代码是10 digit TOTP
感谢大家的帮助!
最佳答案
Appendix A of RFC 6238 中的示例 64 字节种子是 Appendix B 中提供的 ASCII secret 12345678901234567890
的 HEX 编码版本,其中包含真值表。
ASCII 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0
HEX 31 32 33 34 35 36 37 38 39 30 31 32 33 34 35 36 37 38 39 30
如果您想使用相同的模式转换您的共享 key ,如果您使用附录 A 中提供的示例代码,您可以将 abc@example.comTEXT5
转换为字符串格式的 HEX。
这将变成以下十六进制字符串:
616263406578616D706C652E636F6D5445585435
为了构建用于 SHA-512 散列的 64 字节种子示例,重复最初的 20 个字节以使总共 64 个字节,以实现 SHA-512 散列的最佳 key 长度。
对您的示例字符串执行相同操作会产生以下种子:
String seed64 = "616263406578616D706C652E636F6D5445585435" +
"616263406578616D706C652E636F6D5445585435" +
"616263406578616D706C652E636F6D5445585435" +
"61626340";
如果您使用示例代码的其余部分来计算时间步长并请求 10 位 TOTP 代码,我认为它会为您工作。
如果您在生产中使用类似的东西,您可能希望使用更随机生成的 key 。
例如,要为 SHA-512 生成 64 字节 key ,您可以执行以下操作:
public static String generateRawSecret(int length) {
byte[] buf = new byte[length];
new SecureRandom().nextBytes(buf);
String rawSecret = Base64.getEncoder().encodeToString(buf);
return rawSecret.substring(1, length + 1);
}
// Random 64 byte secret
String secret = generateRawSecret(64);
看起来您已经编写了大部分代码,但如果您正在寻找一些额外的 Java 示例,以下链接是一个 GitHub 项目,它有一个简单的实用程序类和一堆测试。 https://github.com/FusionAuth/fusionauth-2FA
关于java - 如何生成 key 以获得 HMAC SHA512 的 TOTP 符合 RFC6238 和 RFC4086?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52964323/
我正在为我的雇主编写脚本,以从他们自己的站点获取某些数据。出于一长串原因,我需要从网站上获取数据,如图所示。我发现,其中一些数据是通过 js 调用检索的... 回想起来,我应该选择 Mechanize
我正在使用 python 和 cryptography.io 来签署和验证消息。我可以通过以下方式获得签名的 DER 编码字节表示: cryptography_priv_key.sign(messag
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 6年前关闭。 Improve thi
是否可以区分 ECDF?以下面得到的为例。 set.seed(1) a <- sort(rnorm(100)) b <- ecdf(a) plot(b) 我想对 b 求导以获得它的概率密度函数 (PD
我找到了如何从 navigator.mimeTypes 获取 mimetypes: function GetMimeTypes() { var message = ""; var mi
我在表单中使用单选按钮来隐藏/显示联系人表单中的成员 ID 字段。问题是,当 javascript 更改 html 中包含的隐藏 id 字段(该字段设置为“无”值)时,该字段将不再通过 post 可用
我正在做单元测试。我必须测试所有可能的if..else情况。但是在此if语句中: int32_t i32Res = snprintf(buffer, len, "The%d_String_%d", 0
我有一个 Facebook 应用程序,我想从中获取“喜欢”的总数。我想知道这是否可能。 其中 ID 是应用程序的 ID,ACCESS_TOKEN 是我尝试过的应用程序的当前访问 token : gra
如果我有多个计算实例尝试同时获取同一个 blob 的租约,则似乎经常会成功。我的印象是,一旦租约发出(并因此被客户获得),就不可能同时发出另一个租约? 我希望情况确实如此,我一直在 Azure 中使用
这是我的索引 POST /blogs/1 { "name" : "learn java", "popularity" : 100 } POST /blogs/2 { "name" : "l
我正在将 Symfony2 与 FOSUserBundle 一起使用。我需要为用户获得最高角色。 role_hierarchy: ROLE_CONTRIBUTOR: ROLE_USER
我正在向服务器发送基于 REST 的请求。我希望尽快得到答复,并希望了解可以进行的各种优化。 一种方法当然是在线程中并行发送这些请求。还有哪些其他选项可用于优化此功能? 在服务器上,可以添加哪些配置?
这可能是某种重复的问题,但我似乎找不到合适的解决方案。我正在使用 git4idea.history.GitHistoryUtils.history() 获取提交列表。如果 checkout 其中一个较
我正在做一个程序,可以输入每周的工资和那一周的总工作时间。它应该以小时工资率显示答案。但是我无法显示正确的“centavos/2 decimal places”公式并且它不想使用 float % fl
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。 我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题,以便
我已经尝试了 mContext.getMainLooper() 和 Looper.getMainLooper()。两者都返回相同的结果,但我想知道哪种方法正确? 我还从 Android 开发人员链接中
我有一个“affiliates”表,其中包含“user”和“referredBy”列。 给定一个用户,我希望获得该用户推荐的所有“n 级”玩家。对于 n=1,我们只关心您直接推荐的玩家数量: SELE
我在 PostgreSQL 9.5 数据库中有两个表: project - id - name task - id - project_id - name - updated_
请帮助我怎样才能得到我预期的结果,在此先感谢并抱歉我的英语不好。 PHP: $dog = implode(',', $data['dogbreed']); $query .= "AND `do
我有 let impulse = CGVectorMake(CGFloat(Constants.impulse), 0) 如何在不创建另一个 CGVector 的情况下得到它的负值? 我正在考虑在 C
我是一名优秀的程序员,十分优秀!