php authenticator

Ein Generator für Gegenbasis (RFC 4226) und zeitbasierte (RFC 6238) einmalige Kennwörter (OTP). (AKA noch eine Implementierung von Google Authenticator!)

• PHP 8.2+
  • ext-curl für die Zeitsynchronisation der Steam Guard-Serverzeit
  • ext-sodium für konstante Zeitimplementierungen von Base64 codieren/decode und hex2bin/bin2hex ( paragonie/constant_time_encoding wird als Fallback verwendet)

Benötigt Komponist

über Terminal: composer require chillerlan/php-authenticator

Composer.json

{
	"require" : {
		"php" : " ^8.2 " ,
		"chillerlan/php-authenticator" : " dev-main "
	}
}

Hinweis: Ersetzen Sie dev-main durch eine Versionsbeschränkung, z ^5.0 - Siehe Veröffentlichungen für gültige Versionen

Profitieren!

Das Geheimnis wird normalerweise einmal während des Aktivierungsprozesses in einem Benutzer -Bedienfeld erstellt. Alles, was Sie dort tun müssen, müssen den Benutzer bequem angezeigt werden - zum Beispiel als Textzeichenfolge und QR -Code - und speichern sie irgendwo mit den Benutzerdaten.

 use chillerlan  Authenticator { Authenticator , AuthenticatorOptions };

$ options = new AuthenticatorOptions ;
$ options -> secret_length = 32 ;

$ authenticator = new Authenticator ( $ options );
// create a secret (stored somewhere in a *safe* place on the server. safe... hahaha jk)
$ secret = $ authenticator -> createSecret ();
// you can also specify the length of the secret key, which overrides the options setting
$ secret = $ authenticator -> createSecret ( 20 );
// set an existing secret
$ authenticator -> setSecret ( $ secret );

Ein mit Authenticator::createSecret() erstellter Geheimnis wird auch intern gespeichert, sodass Sie nicht das Geheimnis bereitstellen müssen, das Sie gerade bei Follow-up-Operationen mit der aktuellen Instanz erstellt haben.

Während des Anmeldungsprozesses - nachdem der Benutzer seine Anmeldeinformationen erfolgreich eingegeben hat - würden Sie ihn nach einem einmaligen Code bitten, ihn gegen das Geheimnis aus Ihrer Benutzerdatenbank zu überprüfen.

 // verify the code
if ( $ authenticator -> verify ( $ otp )){
	// that's it - 2FA has never been easier! :D
}

Überprüfen Sie die benachbarten Codes

 // try the first adjacent
$ authenticator -> verify ( $ otp , time () - $ options -> period ); // -> true
// try the second adjacent, default is 1
$ authenticator -> verify ( $ otp , time () + 2 * $ options -> period ); // -> false
// allow 2 adjacent codes
$ options -> adjacent = 2 ;
$ authenticator -> verify ( $ otp , time () + 2 * $ options -> period ); // -> true 

 // switch mode to HOTP
$ options -> mode = AuthenticatorInterface:: HOTP ;
// user sends the OTP for code #42, which is equivalent to
$ otp = $ authenticator -> code ( 42 ); // -> 123456
// verify [123456, 42]
$ authenticator -> verify ( $ otp , $ counterValueFromUserDatabase ) // -> true

Um einen QR -Code für einen mobilen Authentikator anzuzeigen, benötigen Sie eine otpauth:// URI, die mithilfe der folgenden Methode erstellt werden kann.

• $label sollte etwas sein, das das Konto identifiziert, zu dem das Geheimnis gehört
• $issuer ist beispielsweise der Name Ihrer Website oder Ihres Unternehmens, damit der Benutzer mehrere Konten identifizieren kann.

 $ uri = $ authenticator -> getUri ( $ label , $ issuer );

// -> otpauth://totp/my%20label?secret=NKSOQG7UKKID4IXW&issuer=chillerlan.net&digits=6&period=30&algorithm=SHA1 

Beachten Sie, dass mehrere URI -Einstellungen (noch) von allen Authentikatoren nicht (noch) erkannt werden. Weitere Informationen finden Sie im Google Authenticator Wiki.

 // code length, currently 6 or 8
$ options -> digits = 8 ;
// valid period between 15 and 60 seconds
$ options -> period = 45 ;
// set the HMAC hash algorithm
$ options -> algorithm = AuthenticatorInterface:: ALGO_SHA512 ;