2FA di Laravel dengan Google Authenticator - Dapatkan selamat!

Pengesahan 2-langkah Google Authenticator untuk keselamatan aplikasi Laravel yang dipertingkatkan

Artikel ini akan membimbing anda bagaimana untuk mengintegrasikan Google Authenticator ke dalam aplikasi Laravel anda untuk mencapai pengesahan dua faktor (2FA), meningkatkan keselamatan aplikasi dengan ketara.

mata teras:

Gunakan Google Authenticator dan Laravel untuk melaksanakan 2FA, yang memerlukan pengesahan dua faktor kata laluan dan kod pengesahan yang dihasilkan oleh peranti untuk meningkatkan keselamatan akaun.
Algoritma Kata Laluan Satu-Masa Berasaskan Masa (TOTP) Google yang berfungsi di luar talian tanpa sambungan rangkaian, lebih baik daripada kaedah 2FA lain yang bergantung pada rangkaian.
Proses persediaan termasuk menambah pakej khusus menggunakan komposer, mengemas kini konfigurasi Laravel, dan mengubah suai migrasi pangkalan data untuk menyimpan kunci 2FA dengan selamat.
Proses permohonan termasuk laluan dan pengawal yang membolehkan, melumpuhkan, dan mengesahkan 2FA, memastikan pengguna dapat menguruskan tetapan pengesahan dengan lancar.
Membolehkan 2FA melibatkan menjana kunci, memaparkan kod QR yang pengguna perlu mengimbas, dan menyimpan kunci penyulitan ke pangkalan data.
Sahkan bahawa laluan menggunakan mekanisme had semasa untuk mencegah serangan kekerasan, dan menghadkan bilangan percubaan per minit hingga 5 kali berdasarkan alamat IP.

Terima kasih kepada pengulas rakan sebaya jad Bitar, Niklas Keller, Marco Pivetta dan Anthony Chambers atas sumbangan mereka kepada artikel ini!

Penyerang boleh mendapatkan kata laluan pengguna melalui pelbagai cara, seperti kejuruteraan sosial, pembalak papan kekunci, atau cara jahat yang lain. Kata laluan sahaja tidak mencukupi untuk melindungi akaun pengguna daripada pencerobohan, terutamanya apabila penyerang memperoleh kelayakan.

Untuk mengatasi kecacatan keselamatan ini, pengesahan dua faktor (2FA) muncul. Kata laluan tunggal (faktor pertama) tidak mencukupi untuk mengesahkan identiti pengguna. Falsafah 2FA ialah pengguna mesti menggunakan kedua -dua "perkara yang mereka ada" (faktor kedua) dan "perkara yang mereka tahu" (faktor pertama). Kata laluan adalah sesuatu yang diketahui pengguna. "Apa yang mereka ada" boleh dalam pelbagai bentuk, seperti pengiktirafan biometrik (cap jari, suara, pengimbasan iris), tetapi penyelesaian ini mahal. Satu lagi faktor kedua yang biasa digunakan ialah kata laluan satu kali berasaskan masa (OTP), yang dihasilkan oleh peranti dan sah pada satu masa. OTP terutamanya dibahagikan kepada jenis kaunter dan jenis masa. Menggunakan 2FA lebih selamat daripada menggunakan nama pengguna dan kata laluan, kerana sukar bagi penyerang untuk mendapatkan kedua -dua kata laluan dan faktor kedua.

Tutorial ini akan menggunakan Laravel dan Google Authenticator untuk menunjukkan cara melaksanakan 2FA dalam aplikasi web. Google Authenticator hanyalah pelaksanaan algoritma kata laluan satu kali (TOTP) (RFC 6238), dan standard industri digunakan secara meluas dalam pelbagai penyelesaian 2FA. Google Authenticator mempunyai beberapa kelebihan yang boleh digunakan di luar talian selepas memuat turun ke telefon pintar, sementara banyak penyelesaian 2FA lain memerlukan sambungan rangkaian, seperti menghantar mesej teks, pemberitahuan tolak, atau panggilan suara. Ini tidak terpakai kepada pengguna yang telefonnya mungkin tidak dapat menyambung ke rangkaian luaran (seperti pejabat yang terletak di bawah tanah).

TOTP berfungsi oleh: pelayan menjana kunci dan lulus kepada pengguna. Kunci ini digabungkan dengan timestamp UNIX semasa untuk menghasilkan OTP enam digit menggunakan algoritma Kod Pengesahan Mesej Hash (HMAC). Nombor enam angka ini berubah setiap 30 saat.

Tetapan:

Homestead

Artikel ini mengandaikan bahawa homestead Laravel dipasang. Walaupun tidak diperlukan, arahan mungkin sedikit berbeza jika anda menggunakan persekitaran yang berbeza (memerlukan Php 7). Jika anda tidak biasa dengan Homestead tetapi ingin mendapatkan hasil yang sama dengan artikel ini, sila rujuk artikel SitePoint untuk mengetahui cara menetapkan Homestead.

komposer

Buat projek Laravel baru:

composer create-project --prefer-dist laravel/laravel Project
cd Project

Gunakan komposer untuk memasukkan versi PHP Laravel dan memasang perpustakaan untuk pengekodan base32 masa malar:

composer require pragmarx/google2fa
composer require paragonie/constant-time-encoding

Selepas pemasangan selesai, tambahkan config/app.php ke array PragmaRXGoogle2FAVendorLaravelServiceProvider::class dalam providers dan tambah 'Google2FA' => PragmaRXGoogle2FAVendorLaravelFacade::class ke array aliases.

Scaffolding

Laravel menyediakan keupayaan perancah untuk membuat semua pengawal, pandangan, dan laluan yang diperlukan dengan cepat untuk pendaftaran pengguna asas, log masuk, dan banyak lagi. Kami akan menggunakan auth perancah untuk cepat membina antara muka log masuk dan pendaftaran:

php artisan make:auth

kami akan mengubah beberapa kod yang dihasilkan secara automatik untuk menambah pengesahan dua faktor.

pangkalan data dan model

kita perlu menyimpan kunci yang digunakan untuk membuat kata laluan satu kali dalam rekod pengguna. Untuk melakukan ini, buat penghijrahan lajur pangkalan data baru:

php artisan make:migration add_google2fa_secret_to_users

Buka fail penghijrahan yang baru dibuat (terletak di folder database/migrations, contohnya 2016_01_06_152631_add_google2fa_secret_to_users.php) dan ganti kandungan fail dengan kod berikut:

<?php

use Illuminate\Database\Schema\Blueprint;
use Illuminate\Database\Migrations\Migration;

class AddGoogle2faSecretToUsers extends Migration
{
    public function up()
    {
        Schema::table('users', function (Blueprint $table) {
            $table->string('google2fa_secret')->nullable();
        });
    }

    public function down()
    {
        Schema::table('users', function (Blueprint $table) {
            $table->dropColumn('google2fa_secret');
        });
    }
}

Jalankan penghijrahan untuk menubuhkan jadual pangkalan data:

php artisan migrate

Sekarang lajur google2fa_secret telah ditambah ke jadual users, kita harus mengemas kini model AppUser untuk keselamatan yang dipertingkatkan. Secara lalai, jika program menukarkan data contoh AppUser ke JSON, kandungan lajur google2fa_secret menjadi sebahagian daripada objek JSON. Kami akan menyekat ini. Buka app/User.php, dan tambah google2fa_secret sebagai rentetan ke harta hidden.

... (Langkah -langkah berikutnya adalah serupa dengan teks asal, kecuali bahasa dan ekspresi diselaraskan, menjaga teks asal tidak berubah. Oleh kerana batasan ruang, kod dan penerangan yang tersisa ditinggalkan di sini, tetapi mereka boleh disediakan mengikut teks asal Suplemen langkah dan kod

ujian:

... (Langkah -langkah ujian adalah serupa dengan teks asal, kecuali kaedah bahasa dan ekspresi telah diselaraskan, menjaga makna asal tidak berubah. Oleh kerana batasan ruang, keterangan langkah ujian yang tersisa ditinggalkan di sini, tetapi mereka boleh didasarkan pada teks asal yang disediakan tambahan langkah -langkah dan gambar

Kesimpulan:

Secara lalai, proses log masuk dan proses persediaan TOTP tidak dilakukan melalui HTTPS. Dalam persekitaran pengeluaran, pastikan untuk melakukannya melalui HTTPS.

Artikel ini menunjukkan cara menambah kata laluan satu kali untuk meningkatkan keselamatan semasa pengesahan dan menerangkan langkah demi langkah bagaimana melaksanakan 2FA menggunakan Google Authenticator di Laravel.

(bahagian FAQ juga memerlukan penulisan semula yang sama, ditinggalkan di sini)

Atas ialah kandungan terperinci 2FA di Laravel dengan Google Authenticator - Dapatkan selamat!. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!