在本小节中,我们来看看如何配置OTP(One Time Password),目前Keycloak自身支持的OTP有两个,其一是FreeOTP,它是RedHat自家出品的mobile app,不过看评论确实不怎么样;其二是Google的Authenticator,它就完备很多,在平时的工作中也在使用Authenticator登录Okta以及VPN。所以在后面的示例中使用Authenticator来演示。
初始化配置
-
为了不影响之前的示例的配置,在这里创建一个新的realm(demo-otp)来演示OTP
demo-otp.png - 在这个realm下创建两个用户,user1、user2
- 更改Authentication的配置:
入口如上图所示,在Flows选项卡下,选择Browser,Browser指的是通过浏览器登录时的流程配置。可以看到在下面的表格里,有一项Forms,右边的两列表示登录时,需要经过两步完成。第一步为填入用户名密码,第二步为OTP。默认状态下,OTP不是REQUIRED的。
登录
- 配置完成后,通过浏览器打开链接:http://localhost:8080/auth/realms/demo-otp/account
-
在登录表格中输入用户密码(原本可以直接登录的)
login.png -
进入二次验证页面
opt 1st time.png
当该用户是第一次登录时,便会出现如上页面,使用Authenticator扫描图中二维码,便添加了该认证码,在页面中的输入框中输入Authenticator中的OTP即可完成登录。
-
之后的登录过程中,输入完用户名和密码后,便进入如下页面,输入正确的otp后即可登录。
otp 2nd time.png
通过Postman获取Token(OTP)
-
在demo-otp这个realm中添加一个client用于获取token
otp-client.png -
通过Postman发送请求,新增otp字段,便可获取到token
otp token.png
QRCode
从QRCode中获取到
otpauth://totp/demo-otp:user1?secret=KN2TKUZXMNTGQNTQMNWEONCUI5WWMQTJ&digits=6&algorithm=SHA1&issuer=demo-otp&period=30
它一共有如下字段:
secret: KN2TKUZXMNTGQNTQMNWEONCUI5WWMQTJ
digits: 6
algorithm: SHA1
issuer: demo-otp
period: 30
这些字段的绝大多数,都可以从配置页中获得:
otp setup.png
而其中的secret是如何生成的呢?通过查看源码可以看到由如下代码生成,传入的length为20:
public class HmacOTP {
...
public static String generateSecret(int length) {
String chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVW1234567890";
SecureRandom r = new SecureRandom();
StringBuilder sb = new StringBuilder();
for (int i = 0; i < length; i++) {
char c = chars.charAt(r.nextInt(chars.length()));
sb.append(c);
}
return sb.toString();
}
...
}
