当前位置：首页 > news >正文

使用 Golang 实现基于时间的一次性密码 TOTP

news 2026/2/8 23:56:59

上篇文章详细讲解了一次性密码 OTP 相关的知识，基于时间的一次性密码 TOTP 是 OTP 的一种实现方式。这种方法的优点是不依赖网络，因此即使在没有网络的情况下，用户也可以生成密码。所以这种方式被许多流行的网站使用到双因子或多因子认证中，包括 Google、GitHub、Facebook 和 Salesforce 等等。

因为 TOTP 是标准化的协议并且被广泛采用，所以有很多对应的移动应用或者 web 应用实现，被称为身份验证器应用，例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多优秀的三方库可以帮助我们快速实现 TOTP 的服务端实现，其中比较有代表性的是 pquerna/otp 库，接下来就使用这个库来演示一下 TOTP 的服务端实现流程。

为用户生成 TOTP Key

用户开启双因子认证时，为用户生成 TOTP Key，用于生成 TOTP 密码。将这个密码保存在数据库或者秘钥管理系统中，生成 key 的关键代码如下：

key, err := totp.Generate(totp.GenerateOpts{Issuer:      "Github",AccountName: "user@example.com",Period:      30,Digits:      otp.DigitsSix,Algorithm: otp.AlgorithmSHA1,})

这几个参数的意思如下：

Issuer 意思是应用名称，例如 Github。
AccountName 意思要给哪个用户生成 key。
Period 意思是 TOTP 密码的有效时间，也是不同 TOTP 密码的生成时间间隔，一般为 30 秒。
Digits 意思是生成的密码长度，一般为 6 位。
Algorithm，用于 HMAC 签名的算法，默认是 SHA1。

把密钥和密码生成规则分享给用户

通常是将秘钥和密码规则信息以二维码的形式展示给用户，用户使用身份验证器应用扫描二维码保存相关信息并且生成密码。二维码中的内容格式一般如下：

otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM

为用户提供“恢复码” Recovery Codes

生成“恢复码” Recovery Codes （使用随机生成的字符串即可）存储到数据库或者秘钥管理系统中。当用户不能访问自己的 TOTP 设备（例如将 TOTP 应用中的 TOTP 秘钥删除了、将 TOTP 应用卸载了、手机丢失了等）时，就无法登录自己的帐户了。因为这种情况比较常见，所以很多网站都会给用户提供“备份代码”或“恢复代码”，并且每个只能使用一次，可以临时用来代替 TOTP 密码。

校验用户输入的 TOTP 密码

用户再次登录后，触发双因子认证，要求用户输入 TOTP 密码，服务端检验这个密码。校验的关键代码如下：

// 验证一次性密码
isValid := totp.Validate(passcode, key.Secret())

模拟生成密钥、校验密码的代码

package mainimport ("fmt""time""github.com/pquerna/otp""github.com/pquerna/otp/totp"
)func main() {// 生成密钥key, err := totp.Generate(totp.GenerateOpts{Issuer:      "Github",AccountName: "user@example.com",Period:      30,Digits:      otp.DigitsSix,Algorithm:   otp.AlgorithmSHA1,})if err != nil {panic(err)}fmt.Println("Secret URL: ", key.URL())// 模拟生成一个一次性密码now := time.Now()passcode, err := totp.GenerateCode(key.Secret(), now)if err != nil {panic(err)}// 验证一次性密码valid := totp.Validate(passcode, key.Secret())if valid {fmt.Println("Valid passcode!")} else {fmt.Println("Invalid passcode!")}
}

使用 Golang 实现基于时间的一次性密码 TOTP

为用户生成 TOTP Key

把密钥和密码生成规则分享给用户

为用户提供“恢复码” Recovery Codes

校验用户输入的 TOTP 密码

模拟生成密钥、校验密码的代码

相关文章：

使用 Golang 实现基于时间的一次性密码 TOTP

微服务之Nacos配置管理

PySpark 优雅的解决依赖包管理

UNI-APP_获取手机品牌

新登录接口独立版变现宝升级版知识付费小程序-多领域素材资源知识变现营销系统

「掌握创意，释放想象」——Photoshop 2023，你的无限可能！

SQLSugar查询返回DataTable

企业微信开启接收消息+验证URL有效性

电脑访问不到在同网络的手机设备

国内MES系统应用研究报告：“企业MES应用现状”| 百世慧®

C++模板元模板实战书籍讲解第一章题目讲解

Java在互联网网络安全中的应用（三）

VMLogin如何解决跨境电商多账号管理难题？

STM32创建工程步骤

软考系统架构设计师系列知识点之边缘计算（1）

vue:写一个数组box和list数组，在保留box数组中原有对象的同时，将list数组中每一个对象插入到box数组后面

Python教程：随机函数，开始猜英文单词的游戏

Unit2_1：动态规划DP

k8s提交spark应用消费kafka数据写入elasticsearch7

linux傻瓜式安装Java环境及中间件

pam_env.so模块配置解析

第25节 Node.js 断言测试

【单片机期末】单片机系统设计

【从零学习JVM|第三篇】类的生命周期(高频面试题)

论文阅读笔记——Muffin: Testing Deep Learning Libraries via Neural Architecture Fuzzing

离线语音识别方案分析

2025年低延迟业务DDoS防护全攻略：高可用架构与实战方案

Docker、Wsl 打包迁移环境

运行vue项目报错 errors and 0 warnings potentially fixable with the `--fix` option.

STL 2迭代器