2FA(双因素身份验证)之手机令牌(TOTP)逻辑
纯猜测,没试过,有空试
分为移动端、客户端以及网页端
Steam那种属于APP是网页,客户端是网页,网页端也是网页,挺抽象的
关键点:
时间一致(时钟同步):移动端、客户端与网页端的服务器时间要保持一致(应用部署在同一台服务器或者NTP服务进行时间同步)
可设置时间块(当前时间,当前时间-1)次 多次的验证码结果混合一起校验防止因为在刷新临界点输入导致不成功,但是会增加暴力破解的风险
随机数一致(口令):Random使用相同的种子,或者用密钥和随机数以及时间戳合并计算出口令