登录 用 HMAC-SHA256 实现 TwoFA（二重验证）的坑

今天按照客户的要求，用 HMAC-SHA256 实现 TwoFA（二重验证），刚开始是用 HmacSHA1 实现的，客户端 用 Microsoft Authenticator扫码，是完全正常的。

但是我换成 用 HMAC-SHA256 算法后，无论怎么用 Microsoft Authenticator 都不能成功。

生成的验证代码：

otpauth://totp/xxx.com:admin?secret=KLWKVCOK3BI6WGN6ADDWWMTELMW55P5L&issuer=xxx.com&algorithm=SHA256&digits=6&period=30

我看代码就是 SHA256，没错。就这问题我消耗了整整半天。

最后在网上看到以为大神的留言。Microsoft Authenticator实际使用 SHA1，尽管 URI 指定了 SHA256.

我立马更改 校验动态码的算法，改成用SHA1来校验，正确。

由此可以断定 Microsoft Authenticator实际使用 SHA1，尽管 URI 指定了 SHA256.

总结：

用SHA1生成的动态码，必须用 SHA1算法来校验。

用SHA256生成的动态码，必须用 SHA256算法来校验。

 

我们在校验的时候，无法限制客户端时用 SHA1生成的动态码，还是 SHA256生成的动态码。

所以我们两个算法都要写。只要有一个校验正确就行。

譬如：Microsoft Authenticator我在 otpauth中写了 SHA256算法，但是生成动态码还是使用的SHA1算法，控制不了。

无论使用 SHA1和SHA256生成的密匙，在SHA1和SHA256校验的时候都可以通用。因为密匙生成的时候与算法无关，就是一个动态的字符串。

 

生成的动态验证码是否正确，可以用这个来校验  https://totp.danhersam.com/  不过这个是用 SHA1生成的动态验证码。输入用户对应的 Your Secret Key就可以了。其它不用改。