如何使用TOTP算法验证生成的OTP

Question

我们已经使用Totp算法生成了OTP，它将在很短的时间内运行。你能告诉我如何用用户输入的动态口令验证生成的动态口令吗？是否有任何方法可以比较这些密码或需要将密码存储在某个位置并使用输入的动态口令进行验证。

请告诉我用Totp算法生成的OTP验证最好的方法。

谢谢

Answer 1

要验证令牌，您需要自己在服务器端生成OTP，并在它与用户提供的OTP之间进行恒定时间字符串相等比较。

您可能还需要生成一些较旧的令牌来进行检查，以防用户输入了一个令牌，但在您进行检查之前已经过了一段时间。您可能应该限制令牌的使用期限，但您可以自行决定您认为令牌仍然有效的期限。

Answer 2

该技术使用应用程序/硬件令牌用于生成OTP代码的相同种子数据和编码方法，然后将其与提供的代码进行比较。然后，如果您检查当前时间窗口的任何一侧，以允许服务器和用户应用程序/设备之间的度数时间漂移，则取决于您。