php authenticator

Генератор для счетчиков на основе встреч (RFC 4226) и времени на основе времени (RFC 6238) одно временные пароли (OTP). (aka еще одна реализация Google Authenticator!)

• PHP 8,2+
  • ext-curl для синхронизации времени сервера Steam Guard
  • ext-sodium для постоянного времени реализации Encode/Decode Base64 и Hex2bin/bin2Hex ( paragonie/constant_time_encoding используется в качестве резерва)

Требуется композитор

Через терминал: composer require chillerlan/php-authenticator

Composer.json

{
	"require" : {
		"php" : " ^8.2 " ,
		"chillerlan/php-authenticator" : " dev-main "
	}
}

Примечание. Замените dev-main на ограничение версии, например ^5.0 - См. Выпуск для действительных версий

Выгода!

Секрет обычно создается один раз во время процесса активации на панели управления пользователем. Таким образом, все, что вам нужно сделать, это удобно отобразить его пользователю - например, в виде текстовой строки и QR -кода - и сохранить его где -то с пользовательскими данными.

 use chillerlan  Authenticator { Authenticator , AuthenticatorOptions };

$ options = new AuthenticatorOptions ;
$ options -> secret_length = 32 ;

$ authenticator = new Authenticator ( $ options );
// create a secret (stored somewhere in a *safe* place on the server. safe... hahaha jk)
$ secret = $ authenticator -> createSecret ();
// you can also specify the length of the secret key, which overrides the options setting
$ secret = $ authenticator -> createSecret ( 20 );
// set an existing secret
$ authenticator -> setSecret ( $ secret );

Секрет, созданный Authenticator::createSecret() также будет храниться внутри, так что вам не нужно предоставлять секрет, который вы только что создали на последующих операциях с текущим экземпляром.

Теперь во время процесса входа в систему - после того, как пользователь успешно ввел свои учетные данные - вы попросите их провести одноразовый код, чтобы проверить его с секретом из вашей базы данных пользователей.

 // verify the code
if ( $ authenticator -> verify ( $ otp )){
	// that's it - 2FA has never been easier! :D
}

Проверьте соседние коды

 // try the first adjacent
$ authenticator -> verify ( $ otp , time () - $ options -> period ); // -> true
// try the second adjacent, default is 1
$ authenticator -> verify ( $ otp , time () + 2 * $ options -> period ); // -> false
// allow 2 adjacent codes
$ options -> adjacent = 2 ;
$ authenticator -> verify ( $ otp , time () + 2 * $ options -> period ); // -> true 

 // switch mode to HOTP
$ options -> mode = AuthenticatorInterface:: HOTP ;
// user sends the OTP for code #42, which is equivalent to
$ otp = $ authenticator -> code ( 42 ); // -> 123456
// verify [123456, 42]
$ authenticator -> verify ( $ otp , $ counterValueFromUserDatabase ) // -> true

Чтобы отобразить QR -код для мобильного аутентификатора, вам понадобится otpauth:// uri, который можно создать с помощью следующего метода.

• $label должен быть чем -то, что идентифицирует учетную запись, к которой принадлежит секрет
• $issuer - это название вашего веб -сайта или компании, например, поэтому пользователь может идентифицировать несколько учетных записей.

 $ uri = $ authenticator -> getUri ( $ label , $ issuer );

// -> otpauth://totp/my%20label?secret=NKSOQG7UKKID4IXW&issuer=chillerlan.net&digits=6&period=30&algorithm=SHA1 

Имейте в виду, что несколько настроек URI (пока) не распознаются всеми аутентификаторами. Проверьте Google Authenticator Wiki для получения дополнительной информации.

 // code length, currently 6 or 8
$ options -> digits = 8 ;
// valid period between 15 and 60 seconds
$ options -> period = 45 ;
// set the HMAC hash algorithm
$ options -> algorithm = AuthenticatorInterface:: ALGO_SHA512 ;