我正在我的 asp.net web api 2 webservice(不是 .net 核心)上使用 TOTP 实现 2FA。
该实现使用由 Microsoft.AspNet.Identity 框架提供的TotpSecurityStampBasedTokenProvider。
在查看 Google Authenticator 要求时,它列出了密钥需要是 base32 编码的字符串。
如果您查看来自 TotpSecurityStampBasedTokenProvider 的代码,它使用用户的 SecurityStamp 作为由身份框架生成的秘密。这是一个 GUID,而不是 base32 编码的字符串。
根据Google Authenticator 的规范,要求密钥是base32 编码的字符串。
如何将 TotpSecurityStampBasedTokenProvider 用于 Google Authenticator?
【问题讨论】:
标签: c# asp.net-identity totp
TotpSecurityStampBasedTokenProvider 使用UserManager.CreateSecurityTokenAsync 生成用于计算令牌的密码。
代码依赖于用户 ID,并生成为字节数组,通常在 TOTP 设置阶段向用户显示为 base-32 或 QR 码。
长话短说,没什么好担心的。
【讨论】:
GetSecurityStampAsync 或CreateSecurityTokenAsync。
问题在于Microsoft.AspNet.Identity.Core 提供的TotpSecurityStampBasedTokenProvider 实现了3 分钟 的硬编码时间步长。 Google Authenticator 使用默认值 30 秒,根据文档 provided,不能修改。
这会导致两个 TOTP 计算生成不同的代码,从而导致始终错误的身份验证。
我已为此向github repository of aspnet.identity 添加了一张票。
所以现在我除了创建我自己的 totpProvider 之外别无他法
【讨论】: