滴答认证器 RFC 6238中指定的基于时间的一次性密码(TOTP)算法。 生活中我们会经常使用到TOTP的算法应用,如银行的动态密码器,网络游戏中的将军令,登录场景下的手机二次验证等等。 下图便是一个常见的TOTP动态密码生成器: 为了提高游戏账号的安全性我们在输入账号密码后,对于绑定了将军令的用户还需要输入将军令(OTP动态密码生成器)上面的一次性动态密码,验证通过后方才登陆成功。 TOTP的生成步骤 RFC4226中定义了生成HOTP的关键三个步骤 步骤1:生成HMAC-SHA-1值令HS = HMAC-SHA-1(K,C)// HS是一个20字节的字符串 步骤2:生成一个4字节的字符串(动态截断)令Sbits = DT(HS)//定义如下的DT返回一个31位的字符串 步骤3:计算HOTP值设Snum = StToNum(Sbits)//将S转换为0 ... 2 ^ {31} -