TOTP是一种基于时间的一次性密码,通过共享密钥和时间戳生成每30秒更新的6位密码,PHP可借助otphp库或手动实现算法完成OTP生成与验证。
在双因素认证(2FA)中,基于时间的一次性密码(TOTP)是一种广泛应用的安全机制。PHP可以通过开源库或手动实现 TOTP 算法来生成一次性密码。以下是使用 TOTP 算法结合时间窗口实现 OTP 的完整说明。
什么是 TOTP?
TOTP(Time-based One-Time Password)是基于 HMAC 的一次性密码算法(HOTP)的扩展,它将当前时间作为变量参与计算,生成一个随时间变化的 6 位数字密码,通常每 30 秒更新一次。
其核心流程如下:
- 客户端与服务器共享一个密钥(secret)
- 使用当前时间戳除以时间步长(通常是 30 秒),得到时间计数器(timestamp // 30)
- 用 HMAC-SHA1 对时间计数器进行哈希运算
- 从哈希结果中动态截取 4 字节,转换为 6 位数字
使用 PHP 实现 TOTP 生成
你可以使用现成的库如 spomky-labs/otphp 或手动实现基础逻辑。下面分别介绍两种方式。
立即学习“PHP免费学习笔记(深入)”;
方法一:使用 otphp 库(推荐)
安装 via Composer:
composer require spomky-labs/otphp
生成 TOTP 并输出二维码供扫码绑定:
```php use OTPHP\TOTP; use BaconQrCode\Renderer\Image\Png;use BaconQrCode\Writer;
// 创建 TOTP 实例,30秒有效期,6位密码 $totp = TOTP::create(null, 30, 6, 'sha1');
// 获取 base32 编码的密钥(可保存到用户账户) $secret = $totp->getSecret();
// 设置账户名和 issuer(显示在 Google Authenticator 中) $totp->setLabel('user@example.com'); $totp->setIssuer('MyApp');
// 生成二维码数据 $qrCodeUri = $totp->getProvisioningUri(); $renderer = new Png(); $writer = new Writer($renderer); $qrcodeData = $writer->writeString($qrCodeUri);
// 输出二维码图片 header('Content-Type: image/png'); echo $qrcodeData;
// 同时返回 secret 用于后台存储 echo "\nSecret (save this): " . $secret; ?>
<p>验证用户输入的 OTP:</p>
```php
<?php
require_once 'vendor/autoload.php';
use OTPHP\TOTP;
// 假设从数据库获取用户的 secret
$secret = '用户保存的密钥';
$otpInput = '123456'; // 用户输入的 6 位码
$totp = TOTP::create($secret, 30, 6, 'sha1');
if ($totp->verify($otpInput)) {
echo "验证成功";
} else {
echo "验证码无效或已过期";
}
?>方法二:手动实现 TOTP 核心逻辑
如果你不想引入依赖,可以自己实现关键步骤:
```php function generateTOTP($secret, $timeStep = 30, $digits = 6) { // 将 base32 密钥解码为原始字节 $secretBytes = base32_decode($secret);// 计算时间计数器
$counter = floor(time() / $timeStep);
// 将 counter 转为 8 字节大端序
$timeBytes = pack('N*', 0) . pack('N*', $counter);
// 使用 HMAC-SHA1 进行签名
$hmac = hash_hmac('sha1', $timeBytes, $secretBytes, true);
// 动态截断:取最后 4 位作为偏移量
$offset = ord($hmac[19]) & 0xf;
$binary = unpack('N', substr($hmac, $offset, 4))[1] & 0x7fffffff;
// 取后 6 位数字
return str_pad($binary % pow(10, $digits), $digits, '0', STR_PAD_LEFT);}
// Base32 解码函数 function base32_decode($b32) { $b32 = str_replace('=', '', $b32); $map = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567"; $result = ""; for ($i = 0; $i < strlen($b32); $i++) { $value = strpos($map, $b32[$i]); if ($value === false) continue; $result .= str_pad(decbin($value), 5, '0', STR_PAD_LEFT); } $output = ""; for ($i = 0; $i < strlen($result); $i += 8) { $byte = substr($result, $i, 8); if (strlen($byte) == 8) { $output .= chr(bindec($byte)); } } return $output; }
// 使用示例 $secret = 'JBSWY3DPEHPK3PXP'; // 示例密钥 echo generateTOTP($secret); // 输出如 123456
<H3>集成到双因素认证流程</H3> <p>实际应用中,完整的 2FA 流程包括:</p> <ul> <li>用户开启 2FA 时,系统生成随机密钥并展示二维码</li> <li>用户使用 Google Authenticator 扫码绑定</li> <li>登录第二步要求输入当前 TOTP 验证码</li> <li>服务端用相同密钥调用 verify 判断是否正确</li> <li>允许一定时间偏差(±1 个周期,即 ±30 秒),提升容错性</li> </ul> <p>注意安全建议:</p> <ul> <li>密钥必须安全存储,不能明文记录</li> <li>启用 2FA 后应提供恢复码机制</li> <li>限制连续错误尝试次数防止暴力破解</li> </ul> 基本上就这些。使用 TOTP 可显著提升账户安全性,而 PHP 社区已有成熟工具支持快速集成。
