ASP.NET Core 實作雙重驗證 (2FA)

你的網站有雙重驗證 (Two-factor authentication，通稱 2FA) 的功能嗎 ? 來看一下怎麼使用 ASP.NET Core 實作 2FA 幫網站增加安全性吧 !!

ASP.NET Core 2.2

安裝套件

• GoogleAuthenticatorService.Core

產生 QRCode

• 先初始化剛才安裝的套件
  • 第一個參數為 Title
  • 第二個參數為 User 代碼，這裡用的是我的 Email
  • 第三個參數為 SecreKey，這裡很簡單的只使用 Key，真實的環境請自行設置夠安全的 SecreKey
  • 第四和第五個參數為 QRCode 的寬和高

var Authenticator = new TwoFactorAuthenticator();
var setupInfo = Authenticator.GenerateSetupCode("Cash Google Auth",
                                                "[email protected]",
                                                "key",
                                                250,
                                                250);

• 初始化之後就可以用它的 Property 拿到相關的資訊
  • QrCodeSetupImageUrl 為 QRCode 的網址，這裡會使用 Google Charts 的 API 產生 QRCode
  • ManualEntryKey 為手動輸入的密鑰

var qrCodeUrl = setupInfo.QrCodeSetupImageUrl;
var manualCode = setupInfo.ManualEntryKey;

• 放在網頁上測試
  • 可以看到 QRCode 和 Manual Key

使用 Google Authenticator APP 測試

• 使用 APP 掃 QRCode
  • 可以看到上面有我們設定的 Title 和 Email

• 使用 Manual Key 手動輸入

• 可以看到下面多了一個手動輸入的 2FA，產生的號碼是一樣的，只是它沒有 Title 而已

驗證

• 使用 ValidateTwoFactorPIN 方法，就可以驗證 2FA 是不是 Valid
  • 第一個參數為產生 QRCode 使用的 SecreKey
  • 第二個參數為要驗證的數字

var Authenticator = new TwoFactorAuthenticator();
var valid = Authenticator.ValidateTwoFactorPIN("key", code);

• 測試 APP 產出的數字是不是可用的

後記

• 使用套件就可以產生 2FA 實在是很方便，可以幫自己的網站增加不少安全性
• 有時間的話應該把前端的程式碼也包成套件，會比較方便使用
• 使用這個套件還沒有辦法作到像其它平台一樣有 Recovery Code 的功能，可能需要自己實作了