ElyBy-Mirror/accounts
1
0
Fork 0
mirror of https://github.com/elyby/accounts.git synced 2025-02-28 05:32:53 +05:30
Code Issues Packages Projects Releases Wiki Activity

Теперь из otp secret удаляются значения, которые на письме могут быть спутаны

Browse Source
This commit is contained in:
ErickSkrauch 2017-09-30 02:41:26 +03:00
parent 35e7ae2447
commit 7a6c4c3d2b
1 changed files with 24 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

33
api/modules/accounts/models/TwoFactorAuthInfo.php
View File

@ -42,20 +42,12 @@ class TwoFactorAuthInfo extends BaseAccountForm {
} }
/** /**
* otp_secret кодируется в Base32, т.к. после кодирования в результурющей строке нет символов,
* которые можно перепутать (1 и l, O и 0, и т.д.). Отрицательной стороной является то, что итоговая
* строка составляет 160% от исходной. Поэтому, генерируя исходный приватный ключ, мы должны обеспечить
* ему такую длину, чтобы 160% его длины было равно запрошенному значению
*
* @param int $length * @param int $length
*
* @throws ThisShouldNotHappenException * @throws ThisShouldNotHappenException
*/ */
private function setOtpSecret(int $length = 24): void { private function setOtpSecret(int $length = 24): void {
$account = $this->getAccount(); $account = $this->getAccount();
$randomBytesLength = ceil($length / 1.6); $account->otp_secret = $this->generateOtpSecret($length);
$randomBase32 = trim(Base32::encodeUpper(random_bytes($randomBytesLength)), '=');
$account->otp_secret = substr($randomBase32, 0, $length);
if (!$account->save()) { if (!$account->save()) {
throw new ThisShouldNotHappenException('Cannot set account otp_secret'); throw new ThisShouldNotHappenException('Cannot set account otp_secret');
} }
@ -77,4 +69,27 @@ class TwoFactorAuthInfo extends BaseAccountForm {
return str_pad($content, 91, '#'); return str_pad($content, 91, '#');
} }
/**
* otp_secret кодируется в Base32, но после кодирования в результурющей строке есть символы,
* которые можно перепутать (1 и l, O и 0, и т.д.). Т.к. целевая строка не предназначена для
* обратной расшифровки, то мы можем безжалостно их удалить. Итоговая строка составляет 160%
* от исходной. Поэтому, генерируя исходные случайные байты, мы должны обеспечить такую длину,
* чтобы 160% её было равно запрошенному значению.
*
* @param int $length
* @return string
*/
private function generateOtpSecret(int $length): string {
$randomBytesLength = ceil($length / 1.6);
$result = '';
while (strlen($result) < $length) {
$encoded = Base32::encodeUpper(random_bytes($randomBytesLength));
$encoded = trim($encoded, '=');
$encoded = str_replace(['I', 'L', 'O', 'U', '1', '0'], '', $encoded);
$result .= $encoded;
}
return substr($result, 0, $length);
}
} }