什么是双因素验证 2FA，如何用 Python 实现？

传统的用户名密码方式，容易泄漏，并不安全。你说，加上短信验证码不就安全了，其实短信验证码也是不安全的，容易被拦截和伪造，SIM 卡也可以克隆，已经有案例，先伪造身份证，再申请一模一样的手机号码，把钱转走。

因此就有了 Two-factor authentication，简称 2FA，也就是双因素验证。最常见的就是用户名密码，再加一个动态码。动态码通常由随身携带的移动设备上生成，比如 U 盾、手机。动态码最常见的实现算法就是 One-Time Password（OTP），是基于时间的一次性密码，它是公认的可靠解决方案，已经写入国际标准 RFC6238。比如我们最常用的 Google Authenticator，就是 OTP。那么，知道了 2FA，接下来应该考虑的事，就是如何让你用 Python 写的网站实现 2FA。轮子其实已经有了，那就是 PyOTP，结合自己的理解，分享一下它的用法。

1、安装

pip 安装，不多说。

pip install pyotp

2、配对

配对就是移动设备和我们的 web 服务器配对。

首先，在服务器上使用如下代码生成一次性密钥：

>>> import pyotp
>>> pyotp.random_base32()
'BZ4TOJD4JWWJWPQBKP23FA55EMHA25Y2'
>>>

然后将这个密钥以二维码的形式让手机（移动设备）扫描，扫描之后，手机上的应用就保存了这个密钥。

3、验证

接下来，在手机上就可以使用下面这段逻辑产生动态密码了。

>>> totp = pyotp.TOTP('BZ4TOJD4JWWJWPQBKP23FA55EMHA25Y2')
>>> totp.now()
'941782'
>>>

现在，你有 30 秒的时间将这个 6 位数密码提交到服务器（输入到网页上），服务器服务器也使用同样的密钥和当前时间戳，生成一个动态码，跟用户提交的动态码比对。只要两者不一致，就验证失败，也就是下面这段逻辑，如果超过 30 秒，（当然，30 秒可以自定义），也会失效：

>>> totp = pyotp.TOTP('BZ4TOJD4JWWJWPQBKP23FA55EMHA25Y2')
>>> totp.verify('941782')
True
>>> time.sleep(30)
>>> totp.verify('941782')
False

除了使用基于时间的动态密码，也可以用基于计数的动态密码，逻辑如下：

hotp = pyotp.HOTP('base32secret3232')
hotp.at(0) # => '260182'
hotp.at(1) # => '055283'
hotp.at(1401) # => '316439'

# OTP verified with a counter
hotp.verify('316439', 1401) # => True
hotp.verify('316439', 1402) # => False

4、那是不是手机上还有开发个 app ?

不用，我们直接使用现成的 Google Authenticator 就可以了。

最后

本文分享了什么是 2FA 以及如何用 Python 实现。如果你觉得有收获想要了解更多关于Python教程欢迎持续关注编程学习网